一种哑终端管理方法及装置

技术领域

本申请涉及哑终端技术领域，特别涉及一种哑终端管理方法及装置。

背景技术

在园区网场景下，组网环境通常是由三层组网构成，分别是：Spine层、Leaf层、Access层。其中Spine通常作为核心层，负责数据转发，Leaf设备作为汇聚层，负责有线用户认证和有线/无线用户数据转发控制和策略控制，Access设备层作为接入层，主要为直连终端用户和一些哑终端，如摄像头、门禁、打印机等。

随着园区的规模越来越大，用户网络也会经常变更，当遇到一些不发包的哑终端，则经常会出现无法访问的情况。

当前现有方案都是通过免认证的配置方式来保证哑终端可访问的，但是对于不主动发包的哑终端则需要主动激活设备或者手工配置静态ARP。然而，手工配置比较复杂，且当终端位置变化，需要手工删除老设备的配置，并重新到设备上下发相应配置。

发明内容

本申请提供了一种哑终端管理方法及装置。

第一方面，本申请提供了一种哑终端管理方法，所述方法包括：

基于网关设备创建二层网络域，并创建所述二层网络域对应的免认证接口组，以及将接入设备上用于哑终端直连的第一接口加入所述免认证接口组；

确定各第一接口所属的接入设备对应的网关设备，并确定各网关设备上直连各接入设备的第二接口；

针对网关设备的各第二接口，下发该第二接口接入的目标哑终端的静态ARP条目，并建立所述静态ARP条目与所述二层网络域的关联关系，所述目标ARP条目用于所述目标哑终端相关报文的转发。

可选地，基于网关设备创建二层网络域的步骤包括：

向各网关设备下发创建目标VSI，目标VSI网关，目标VPN和对应服务实例的指令，以使得各网关设备创建对应的二层网络域。

可选地，所述方法还包括：

创建安全组，并绑定所述二层网络域；

建立所述静态ARP条目与所述二层网络域的关联关系的步骤包括：

基于所述安全组，确定所述二层网络域；

建立所述静态ARP条目与所述二层网络域对应的目标VSI，目标VSI网关，目标VPN和对应服务实例的关联关系。

可选地，所述方法还包括：

基于各第一接口直连的哑终端，配置该第一接口的静态ARP条目；

指定所述安全组对应的免认证VLAN，并配置所述第一接口和第二接口的免认证VLAN信息。

可选地，所述方法还包括：

若基于网络拓扑检测到目标接入设备由第一网关设备切换至第二网关设备，其中，该接入设备的第一接口接入有哑终端；

删除所述第一网关设备上，接入所述目标接入设备的第二接口的静态ARP条目，并在所述第二网络设备上，接入所述目标接入设备的第二接口上添加该静态ARP条目。

第二方面，本申请提供了一种哑终端管理装置，所述装置包括：

创建单元，用于基于网关设备创建二层网络域，并创建所述二层网络域对应的免认证接口组，以及将接入设备上用于哑终端直连的第一接口加入所述免认证接口组；

确定单元，用于确定各第一接口所属的接入设备对应的网关设备，并确定各网关设备上直连各接入设备的第二接口；

下发单元，用于针对网关设备的各第二接口，下发该第二接口接入的目标哑终端的静态ARP条目；

建立单元，用于建立所述静态ARP条目与所述二层网络域的关联关系，所述目标ARP条目用于所述目标哑终端相关报文的转发。

可选地，基于网关设备创建二层网络域时所述创建单元具体用于：

向各网关设备下发创建目标VSI，目标VSI网关，目标VPN和对应服务实例的指令，以使得各网关设备创建对应的二层网络域。

可选地，所述创建单元还用于，创建安全组，并绑定所述二层网络域；

建立所述静态ARP条目与所述二层网络域的关联关系时，所述建立单元具体用于：

基于所述安全组，确定所述二层网络域；

建立所述静态ARP条目与所述二层网络域对应的目标VSI，目标VSI网关，目标VPN和对应服务实例的关联关系。

可选地，所述装置还包括：

配置单元，用于基于各第一接口直连的哑终端，配置该第一接口的静态ARP条目；指定所述安全组对应的免认证VLAN，并配置所述第一接口和第二接口的免认证VLAN信息。

可选地，所述装置还包括：

检测单元，若基于网络拓扑检测到目标接入设备由第一网关设备切换至第二网关设备，其中，该接入设备的第一接口接入有哑终端；

删除单元，用于删除所述第一网关设备上，接入所述目标接入设备的第二接口的静态ARP条目；

添加单元，用于在所述第二网络设备上，接入所述目标接入设备的第二接口上添加该静态ARP条目。

第三方面，本申请实施例提供一种哑终端管理装置，该哑终端管理装置包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序指令执行如上述第一方面中任一项所述的方法的步骤。

第四方面，本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行如上述第一方面中任一项所述方法的步骤。

综上可知，本申请实施例提供的哑终端管理方法，基于网关设备创建二层网络域，并创建所述二层网络域对应的免认证接口组，以及将接入设备上用于哑终端直连的第一接口加入所述免认证接口组；确定各第一接口所属的接入设备对应的网关设备，并确定各网关设备上直连各接入设备的第二接口；针对网关设备的各第二接口，下发该第二接口接入的目标哑终端的静态ARP条目，并建立所述静态ARP条目与所述二层网络域的关联关系，所述目标ARP条目用于所述目标哑终端相关报文的转发。

采用本申请实施例提供的哑终端管理方法，在网络拓扑中找到免认证接口组中每个成员对应的网关设备，向网关设备下发静态ARP配置，当免认证接口组成员移到另一个网关设备后，控制器定时探测网络拓扑，发现网络拓扑变化后，删除原网关设备相关静态ARP配置，并在新网关设备上重新下发静态ARP配置，静态ARP配置与免认证接口组成员相关联，随着免认证接口组成员的拓扑变化，实现对应静态ARP配置的自动化删除/添加，这样，降低用户配置难度。支持随接入设备移动自动生效，免于重新配置。

附图说明

为了更加清楚地说明本申请实施例或者现有技术中的技术方案，下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据本申请实施例的这些附图获得其他的附图。

图1为本申请实施例提供的一种哑终端管理方法的详细流程图；

图2为本申请实施例提供的一种哑终端管理装置的结构示意图；

图3为本申请实施例提供的一种哑终端管理装置的硬件架构示意图。

具体实施方式

在本申请实施例使用的术语仅仅是出于描述特定实施例的目的，而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

示例性的，参阅图1所示，为本申请实施例提供的一种哑终端管理方法的详细流程图，该方法包括以下步骤：

步骤100：基于网关设备创建二层网络域，并创建所述二层网络域对应的免认证接口组，以及将接入设备上用于哑终端直连的第一接口加入所述免认证接口组。

本申请实施例中，基于网关设备创建二层网络域时，一种较佳地实现方式为：

向各网关设备下发创建目标VSI，目标VSI网关，目标VPN和对应服务实例的指令，以使得各网关设备创建对应的二层网络域。

具体地，在Spine设备，Leaf设备和Access设备三层组网中，通过网管软件(控制器)创建二层网络域，包括：对所有的Leaf设备下发目标VSI(如，VSI 10)，目标VSI网关(VSI接口，如，VSI-interface 10)，目标VPN(如，VPN 10)和对应服务实例，也即，在所有Leaf设备上创建待管理的哑终端对应的VSI，VSI网关，VPN和对应服务实例。

接着，通过网管软件创建免认证接口组，该免认证接口组为用户(哑终端)上线不需要认证的直连接口的集合。免认证接口组为二层网络域关联的接口组。

然后，将Access设备上用于直连哑终端的第一接口加入该免认证接口组。也即，直连该第一接口的终端是无需进行认证的。

具体地，网关软件可以基于用户通过拖拽/输入/选择的方式，将用户指定的Access设备上用于直连哑终端的第一接口添加至该免认证接口组。

进一步地，本申请实施例中，创建安全组，并绑定所述二层网络域。

也就是说，通过网关软件，创建一个用户层面的安全组，并绑定二层网络域，免认证接口组，也即，建立安全组，二层网络域和免认证接口组的关联关系，同时，可以指定一个免认证VLAN(如，VLAN 10)。

在指定免认证VLAN之后，针对免认证接口组包括的各第一接口，下发该免认证VLAN。也即，各第一接口配置有该免认证VLAN。

本申请实施例中，在确定各第一接口后，即可根据各第一接口直连的哑终端，配置该第一接口的静态ARP条目(哑终端IP和MAC信息)，具体地，基于各第一接口直连的哑终端，配置该第一接口的静态ARP条目。

例如，接入设备1(如，Access 1)的第一接口1接入有哑终端1，则在该第一接口1上配置哑终端1的静态ARP条目，假设Access 1的第一接口1接入有哑终端1和哑终端2，那么，就可以在该第一接口1上配置哑终端1的静态ARP条目和哑终端2的静态ARP条目。

步骤110：确定各第一接口所属的接入设备对应的网关设备，并确定各网关设备上直连各接入设备的第二接口。

本申请实施例中，假设Access 1的接口1和接口2用于直连哑终端，那么，接口1和接口2即为免认证接口组的成员接口(第一接口)，此时，接口1和接口2所属接入设备1，基于网络拓扑，通过递归函数层层遍历，确定接入设备1的网关设备(如，Leaf 1)，以及Leaf 1上直连接入设备1的第二接口。这样，就能找到各接入设备(直连有哑终端的接入设备)对应的网关设备，以及网关设备上直连对应接入设备的接口信息。

由上可知，就可以建立网关设备的各第二接口与该第二接口通过接入设备接入的哑终端之间的关联关系。如，Leaf 1的第二接口1接入有Access 1，Access1直连有哑终端1，哑终端2，那么，就建立了该第二接口1与哑终端1和哑终端(第二接口1对应的目标哑终端)的关联关系。

本申请实施例中，将哑终端的ARP条目与免认证接口组成员(成员接口所属接入设备)相关联，如，免认证接口组成员1和成员2所属接入设备1，接入设备1接入有哑终端1，哑终端2，那么，哑终端1和哑终端2的ARP条目就与接入设备1(成员1和成员2)相关联。接入设备1与其接入的网关设备相关联，这样，就建立了网关设备(接口)，接入设备和哑终端的ARP条目的关联关系。后续即可基于该关联关系，控制器即可实现对网关设备静态ARP配置的自动下发。

步骤120：针对网关设备的各第二接口，下发该第二接口接入的目标哑终端的静态ARP条目，并建立所述静态ARP条目与所述二层网络域的关联关系，所述目标ARP条目用于所述目标哑终端相关报文的转发。

此时，网管软件就可以向各第二接口下发其对应的目标哑终端的静态ARP条目，并将下发的静态ARP条目与二层网络域关联上。

本申请实施例中，建立所述静态ARP条目与所述二层网络域的关联关系时，一种较佳地实现方式为：

基于所述安全组，确定所述二层网络域；建立所述静态ARP条目与所述二层网络域对应的目标VSI，目标VSI网关，目标VPN和对应服务实例的关联关系。

也就是说，将下发的静态ARP条目与用于哑终端相关报文转发的目标VSI，目标VSI网关，目标VPN和对应服务实例关联上。

同时，配置所述第二接口的免认证VLAN信息。也即，各第二接口配置有该免认证VLAN。

本申请实施例中，上述哑终端管理方法还可以包括以下步骤：

若基于网络拓扑检测到目标接入设备由第一网关设备切换至第二网关设备，其中，该接入设备的第一接口接入有哑终端；

删除所述第一网关设备上，接入所述目标接入设备的第二接口的静态ARP条目，并在所述第二网络设备上，接入所述目标接入设备的第二接口上添加该静态ARP条目。

例如，控制器通过SNMP协议探测设备链路关系；控制器感知到接入设备1由原来网关设备1切换至网关设备2，且接入设备1直连的哑终端未发生变化，即跟随接入设备1由网关设备1迁移至网关设备2。此时，控制器在网关设备1上，与接入设备1直连的第二接口删除静态ARP配置(接入设备1直连的哑终端相关联的静态ARP条目)，并在网关设备2上，与接入设备1直接的接口上添加静态ARP配置(接入设备1直连的哑终端相关联的静态ARP条目)。

也就是说，在网络拓扑中找到免认证接口组中每个成员对应的网关设备，向网关设备下发静态ARP配置，当免认证接口组成员移到另一个网关设备后，控制器定时探测网络拓扑，发现网络拓扑变化后，删除原网关设备相关静态ARP配置，并在新网关设备上重新下发静态ARP配置，静态ARP配置与免认证接口组成员相关联，随着免认证接口组成员的拓扑变化，实现对应静态ARP配置的自动化删除/添加，这样，降低用户配置难度。支持随接入设备移动自动生效，免于重新配置。

示例性的，参阅图2所示，为本申请实施例提供的一种哑终端管理装置的结构示意图，该装置包括：

创建单元20，用于基于网关设备创建二层网络域，并创建所述二层网络域对应的免认证接口组，以及将接入设备上用于哑终端直连的第一接口加入所述免认证接口组；

确定单元21，用于确定各第一接口所属的接入设备对应的网关设备，并确定各网关设备上直连各接入设备的第二接口；

下发单元22，用于针对网关设备的各第二接口，下发该第二接口接入的目标哑终端的静态ARP条目；

建立单元23，用于建立所述静态ARP条目与所述二层网络域的关联关系，所述目标ARP条目用于所述目标哑终端相关报文的转发。

可选地，基于网关设备创建二层网络域时所述创建单元20具体用于：

向各网关设备下发创建目标VSI，目标VSI网关，目标VPN和对应服务实例的指令，以使得各网关设备创建对应的二层网络域。

可选地，所述创建单元20还用于，创建安全组，并绑定所述二层网络域；

建立所述静态ARP条目与所述二层网络域的关联关系时，所述建立单元23具体用于：

基于所述安全组，确定所述二层网络域；

建立所述静态ARP条目与所述二层网络域对应的目标VSI，目标VSI网关，目标VPN和对应服务实例的关联关系。

可选地，所述装置还包括：

配置单元，用于基于各第一接口直连的哑终端，配置该第一接口的静态ARP条目；指定所述安全组对应的免认证VLAN，并配置所述第一接口和第二接口的免认证VLAN信息。

可选地，所述装置还包括：

检测单元，若基于网络拓扑检测到目标接入设备由第一网关设备切换至第二网关设备，其中，该接入设备的第一接口接入有哑终端；

删除单元，用于删除所述第一网关设备上，接入所述目标接入设备的第二接口的静态ARP条目；

添加单元，用于在所述第二网络设备上，接入所述目标接入设备的第二接口上添加该静态ARP条目。

以上这些单元可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(Application Specific Integrated Circuit，简称ASIC)，或，一个或多个微处理器(digital singnal processor，简称DSP)，或，一个或者多个现场可编程门阵列(Field Programmable Gate Array，简称FPGA)等。再如，当以上某个单元通过处理元件调度程序代码的形式实现时，该处理元件可以是通用处理器，例如中央处理器(CentralProcessing Unit，简称CPU)或其它可以调用程序代码的处理器。再如，这些单元可以集成在一起，以片上系统(system-on-a-chip，简称SOC)的形式实现。

进一步地，本申请实施例提供的哑终端管理装置，从硬件层面而言，所述哑终端管理装置的硬件架构示意图可以参见图3所示，所述哑终端管理装置可以包括：存储器30和处理器31，

存储器30用于存储程序指令；处理器31调用存储器30中存储的程序指令，按照获得的程序指令执行上述方法实施例。具体实现方式和技术效果类似，这里不再赘述。

可选地，本申请还提供一种控制器，包括用于执行上述方法实施例的至少一个处理元件(或芯片)。

可选地，本申请还提供一种程序产品，例如计算机可读存储介质，该计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令用于使该计算机执行上述方法实施例。

这里，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：RAM(RadomAccess Memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

而且，这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。