CN104917719A - 用户端网络设备及远程登录的方法 - Google Patents
用户端网络设备及远程登录的方法 Download PDFInfo
- Publication number
- CN104917719A CN104917719A CN201410086309.7A CN201410086309A CN104917719A CN 104917719 A CN104917719 A CN 104917719A CN 201410086309 A CN201410086309 A CN 201410086309A CN 104917719 A CN104917719 A CN 104917719A
- Authority
- CN
- China
- Prior art keywords
- network
- port
- user terminal
- isp server
- upper layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/08—Protocols specially adapted for terminal emulation, e.g. Telnet
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用户端网络设备,与局域网内的上层网络和下层网络通信,所述局域网与ISP服务器通信。所述用户端网络设备包括搜寻模块、配置模块、登入模块和关闭模块。搜寻模块用于从所述上层网络接收搜寻命令并对下层网络中的其他用户端网络设备进行搜寻。配置模块用于从所述上层网络接收命令以进行端口配置,同时接收所述上层网络分配的端口并作为telnet默认端口。登入模块通过所述telnet默认端口与ISP服务器建立远程通信连接。关闭模块用于从所述上层网络接收命令以关闭远程登录服务,释放相应端口。本发明还提出一种远程登录的方法。上述用户端网络设备及远程登录的方法可使ISP通过动态端口直接远程登录用户端网络设备。
Description
技术领域
本发明涉及网络通信领域,尤其涉及一种令ISP(Internet Service Provider,互联网服务提供商)可通过动态分配的端口直接远程登录的用户端网络设备及远程登录的方法。
背景技术
随着互联网技术的发展,越来越多的网络设备被应用在各类网络中,其中,ISP通过网络设备为用户提供相应服务,而处于用户端的CPE(Customer PremiseEquipment,用户端网络设备)在接受ISP服务的同时,也经常需要接受ISP服务器的管理进行相应的设定、维护或更新。一般ISP对于CPE产品进行升级、更改设定和维护等管理动作时,大多采用远程登录(telnet,远程登录)的方式进行,远程登入CPE后进行相关操作。但是,由于现今很多企业局域网内部均采用私有地址,经NAT(Network Address Translation,网络地址转换)服务器与公网通信,因此,ISP服务器无法直接得知NAT后端需要管理的CPE的网络地址而进行远程登录,这对ISP管理其CPE造成一定困难,另外,ISP对NAT后端有多少需要管理的CPE数量难以辨别,也容易将需要管理的CPE与不需管理的CPE混合。同时,一般telnet默认端口固定为23,固定的端口也带来潜在的安全漏洞。因此,如何通过telnet准确地与需要管理的目的CPE建立远程通信,同时使管理更为安全,是一个急需解决的问题。
发明内容
有鉴于此,本发明提供一种用户端网络设备,令ISP服务器可通过动态端口直接远程登录局域网内的用户端网络设备,实现ISP服务器对其服务范围内的用户端网络设备的更有效、更安全的管理
此外,本发明还提供一种远程登录方法,令ISP服务器可通过动态端口直接远程登录局域网内的用户端网络设备,实现ISP服务器对其服务范围内的用户端网络设备的更有效、更安全的管理
本发明实施方式提供的用户端网络设备,与局域网内的上层网络和下层网络通信,上层网络与下层网络皆包括至少一个其他用户端网络设备,局域网与ISP服务器通信。所述用户端网络设备包括搜寻模块、配置模块、登入模块。搜寻模块用于从上层网络接收到搜寻命令后对下层网络中的其他用户端网络设备进行搜寻,确认下层网络中属于ISP服务器管理的其他用户端网络设备的数量,并将数量报告给上层网络。配置模块用于在接收到上层网络的配置命令后进行端口配置并接收上层网络所分配的端口,端口配置包括:开启远程登录服务,以上层网络分配的端口作为用户端网络设备的远程登录默认端口,依据上层网络分配的端口及搜寻模块报告的数量对下层网络中属于ISP服务器管理的其他用户端网络设备进行端口分配,发送为其他用户端网络设备分配的端口及配置命令至下层网络中属于所SP服务器管理的其他用户端网络设备。登入模块,用于通过远程登录默认端口监听来自上层网络的远程登录请求,当远程登录请求的封包目的端口与远程登录默认端口匹配时,通过远程登录默认端口与ISP服务器建立远程通信连接。
优选的,当用户端网络设备处于局域网最高层时,用户端网络设备与ISP服务器通信,接收ISP服务器的搜寻命令、配置命令及远程登录请求,ISP服务器为根网络设备分配的端口为随机分配的动态端口。
优选的,用户端网络设备还包括关闭模块,关闭模块用于从上层网络接收关闭远程登录服务的命令,关闭用户端设备的远程登录服务,释放远程登录默认端口。
优选的,当用户端网络设备不处于最底层网络时,配置模块还用于开启封包转发功能,关闭模块还用于发送关闭远程登录服务命令至下层网络中属于ISP服务器管理的其他用户端网络设备,并关闭封包转发功能。
优选的,配置模块还用于接收下层网络中属于ISP服务器管理的其他用户端网络设备回复的端口分配及配置结果。
本发明实施方式所提供的远程登录的方法,应用于用户端网络设备,用户端网络设备与局域网内的上层网络和下层网络通信,上层网络与下层网络皆包括至少一个其他用户端网络设备,局域网与ISP服务器通信。所述方法包括以下步骤:从上层网络接收到搜寻命令后对下层网络中的其他用户端网络设备进行搜寻,确认下层网络中属于ISP服务器管理的其他用户端网络设备的数量,并将数量报告给上层网络;在接收到上层网络的配置命令后进行端口配置并接收上层网络所分配的端口,端口配置包括:开启远程登录服务,以上层网络分配的端口为为远程登录默认端口依据上层网络分配的端口及搜寻模块报告的数量对下层网络中属于ISP服务器管理的其他用户端网络设备进行端口分配,发送为其他用户端网络设备分配的端口及配置命令至下层网络中属于所述ISP服务器管理的其他用户端网络设备;通过远程登录默认端口监听来自上层网络的远程登录请求,当远程登录请求的封包目的端口与远程登录默认端口匹配时,通过远程登录默认端口与所述ISP服务器建立远程通信连接。
优选的,当用户端网络设备处于局域网最高层时,用户端网络设备与ISP服务器通信,接收ISP服务器的搜寻命令、配置命令及远程登录请求,ISP服务器为用户端网络设备分配的端口为随机分配的动态端口。
优选的,所述方法还包括以下步骤:从上层网络接收关闭远程登录服务的命令,关闭用户端设备的远程登录服务,释放远程登录默认端口。
优选的,所述方法还包括以下步骤:当用户端网络设备不处于最底层网络时,开启封包转发功能,发送关闭远程登录服务命令至下层网络中属于ISP服务器管理的其他用户端网络设备,关闭封包转发功能。
优选的,所述方法还包括以下步骤:接收下层网络中属于ISP服务器管理的其他用户端网络设备回复的端口分配及配置结果。
本发明实施方式中所提供的用户端网络设备及远程登录方法通过层层搜寻确认属于ISP服务器范围内的所有用户端网络设备数量,在通过层层递进为用户端网络设备随机分配端口做为telnet端口,令ISP服务器可通过动态端口直接远程登录局域网内的用户端网络设备,实现单一远程连线,同时动态端口也使远程登录更为安全,不易被攻击,实现了ISP对其服务范围内用户端网络设备更有效、更安全的管理。
附图说明
图1是本发明用户端网络设备一实施方式的应用环境示意图。
图2是图1中用户端网络设备一实施方式的功能模块图。
图3是本发明中用户端网络设备另一实施方式的功能模块图。
图4是本发明远程登录用户端网络设备的方法一实施方式的流程图。
图5是图4中步骤S400中实现CPE搜寻一实施方式的细化流程图。
图6是图4中步骤S402及步骤S404中实现端口配置一实施方式的流程图。
图7是图4中步骤S404中实现远程登录CPE一实施方式的流程图。
图8是本发明用户端网络设备中关闭远程登录服务一实施方式的流程图。
图9是本发明中一实施方式中用户端网络设备接收到的搜寻结果一示例列表。
图10是本发明中一实施方式中用户端网络设备进行目的地址转换一示例列表。
主要元件符号说明
局域网 10
ISP服务器 20
CPE 101、102、103、104、105、106
处理器 1011
存储媒介 1012
搜寻模块 10121
配置模块 10122
登入模块 10123
关闭模块 10124
数据库 10125
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
图1是本发明一实施方式的应用环境示意图。在本实施方式中,多个CPE101、102、103、104、105、106位于局域网10内,ISP服务器20位于局域网10外,为局域网内的某些CPE提供相关服务并管理。局域网10内的众多CPE形成多层网络,CPE101为第一层网络即root CPE,CPE102~104位于第二层网络,CPE105和CPE106则为第三层也即最底层网络。局域网内部使用私有地址,通过NAT与公网进行通信,此处,CPE101也充当NAT主机的角色。
局域网10与ISP服务器20一起组成本发明具体实施例的应用环境,需要说明的是,在本发明实施方式中,ISP服务器20可以为一个或多个以上,图1中为图示简便仅示出一个,实际应用中不限于此。
需要说明的是,在本发明一实施方式中,CPE101、102、103、104、105、106可为多个以上具有DHCP功能、NAT功能的的网络设备如路由器、网关甚至个人电脑等,本发明对此不做限制。
需要说明的是,在本发明一实施方式中,root CPE充当局域网10中NAT主机的角色,为局域网10内设备与公网的通信封包实现NAT转换。局域网10内的每个CPE均可作为NAT为下层CPE分配端口及进行必要的封包地址转换。
需要说明的是,局域网10内的CPE并不一定在ISP的服务范围内,当CPE不在ISP服务范围内时,则不属于ISP服务器管理。在下文描述中,为方便描述,默认此局域网10中root CPE即CPE101属于ISP服务器管理,下层网络中除CPE103之外,其他CPE均属于ISP服务器20管理。
需要说明的是,局域网10内部多层网络的层数可以为至少一层以上,本文对此不作限制。
需要说明的时,因CPE101在局域网10内充当root CPE,为最顶层网络,故在本文后续描述中,对CPE101而言,其上层网络即视为ISP服务器20。
需要说明的是,因CPE101、102、103、104、105、106是结构功能相同的装置,因而在下面的说明中仅以其中之一为代表。
在本发明一实施方式中,当ISP服务器20需要对其服务的位于局域网10内的相应CPE进行管理时,可通过telnet方式远程登录相应CPE进行相应操作,由此完成CPE的管理。
请参阅图2,所示为本发明中CPE一实施方式的功能模块图。此处以CPE101为例进行说明。CPE101包括搜寻模块10121、配置模块10122、登入模块10123、关闭模块10124以及数据库10125。
搜寻模块10121用于接受上层的验证及对下层进行验证,并执行搜寻功能以确认属于ISP服务器20的CPE的数量。此处以CPE101为例,当搜寻模块10121接收到来自ISP服务器20的认证要求时,会发送预先约定的用户名与密码至ISP服务器20,验证成功后持续等待,当接收到ISP搜寻命令时,若自身有下层CPE,则给第二层网络中所有CPE发送认证要求,验证通过的CPE则属于ISP服务器20管理。当第二层网络中有属于ISP服务器20管理的CPE(此处以CPE102和CPE103为例)时,搜寻模块10121再给CPE102和CPE103发送搜寻命令并开始计时,计时时间由ISP服务器20发送命令时预设定,在局域网10内计时时间层层递减,如第一层网络为T,则第二层网络可为T/2,依此类推。CPE102和CPE103将回复其所搜寻到CPE数量给搜寻模块10121,搜寻模块10121收到回复之后,向ISP回复搜寻自己的搜寻结果,搜寻到的CPE数量应为:所有收到的回复数量+1。例如,在局域网10中,CPE102下无下层网络CPE,故其回复搜寻模块10121搜寻数量应为1,CPE104下有CPE105和CPE106,故其回复搜寻模块10121搜寻数量应为3,对于CPE103,因其不属于ISP服务器20管理,在验证时将验证失败,搜寻模块10121得知其不属于ISP管理,将不对其发送搜寻命令,故CPE103搜寻数量默认为0。对于上述搜寻结果,搜寻模块10121将记录到数据库10125中并建立相应的表格进行存储,如图9所示则为对上述描述的简单记录,本发明对具体记录形式不做限制。如上所述,最终,搜寻模块10121回应ISP服务器20的搜寻命令,将搜寻结果回复至ISP服务器20:搜寻到的ISP服务器20管理的CPE数量为:1+3+1=5。在计时时间内,若没有收到第二层网络中所有属于ISP服务器20管理的CPE的回复,搜寻模块10121会持续监控直至计时结束,再将此时已搜寻到的属于ISP服务器20管理的CPE数量回复ISP服务器20。此外,若搜寻模块10121接到ISP服务器20搜寻命令后发现并无下层CPE或对第二层网络中CPE验证后发现没有通过验证的CPE,则直接回复ISP搜寻数量为1,即只有CPE101一个CPE在ISP服务范围内归其管理。上述所述所有搜寻结果(各层网络CPE搜寻数量)均被被存储至数据库10125中以备查询。
配置模块10122用于对下层CPE进行端口分配及对端口进行配置。ISP服务器20接收到搜寻模块10121回复的CPE数量后,为CPE101随机分配一个端口并此端口号及open port send命令发送至CPE101,要求CPE101再为局域网10中第二层网络属于ISP服务器20管理的CPE进行端口分配并配置所有已分配端口。配置模块10122收到上述端口及命令后,依据上报搜寻数量为第二层网络中所有属于ISP服务器20管理的CPE分配端口,端口分配以ISP服务器20为自身分配的端口为基础。CPE101将所分配好的端口号及open port send命令再发送至第二层网络中所有属于ISP服务器20管理的CPE,要求其再对第三层网络中属于ISP服务器20管理的CPE进行端口分配及配置,如此层层深入,直至最底层网络。最底层网络中属于ISP服务器20管理的CPE收到其上一层CPE分配的端口号后及openport send命令后,直接开启远程登录服务,并以上一层CPE为其分配的端口作为telnet默认端口,配置完成后以open port response回应上一层,命令中包含端口分配结果及配置情况。上一层CPE收到回应后,开启远程登录服务,并以再上一层CPE为其分配的端口作为telnet默认端口,同时开启port forwarding(封包转发机制),如此层层上报。对于CPE101,当其收到第二层网络所有属于ISP服务器20管理的CPE回应的open port response命令时,开启远程登录服务,以ISP服务器20为其分配的端口为telnet默认端口,同时开启port forwarding,转发规则为:转发目的端口为CPE101所有下层网络中属于ISP服务器20管理的CPE的telnet默认端口号的封包。配置完成后,CPE101以open port response回应ISP服务器20,告知其局域网10内各CPE端口分配结果及配置情况。上述端口分配及配置具体过程如下:若ISP服务器20给CPE101分配的的端口为340,则配置模块10122为CPE102和CPE103分配的端口数应为341、342等,具体端口号情况依据各个CPE原上报的CPE数量而不同,且端口号顺序依据CPE MAC大小递增分配。例如,CPE102原上报数量为1,而CPE104原上报数量为3,且CPE102的MAC地址大于CPE104,则配置模块10122给CPE104分配的端口号为340+1=341,给CPE102分配的端口号为340+1+3=344,依此类推,CPE104为CPE105分配的端口为342,为CPE106分配的端口为343,各CPE再将上述对应端口设为各自的telnet默认端口。如此,CPE101port forwarding转发规则为:转发目的端口范围为341-344的封包,其他各层CPE以此类推。上述端口分配及配置结果包括CPE与对应telnet默认端口号以及相应port forwarding端口范围也同时被存储至数据库10125中以备查询。
登入模块10123用于实现ISP服务器20对对应CPE的远程登录。仍旧以CPE101为例,登入模块10123通过telnet默认端口340监控来自上层网络的telnet请求,当telnet请求封包的目的端口与telnet默认端口340匹配时,则认为此telnet请求是发给CPE101的,于是,登入模块10123通过端口340接收ISP服务器20的telnet请求,接收其对CPE101的管理。反之,若端口匹配失败,则登入模块10123依据port forwarding转发规则对telnet请求封包进行转发,直至封包到达其目的端口对应的CPE。此处,假设CPE101与公网进行通信的外部IP为10.130.21,CPE102和CPE103的在局域网10的内部IP分别为192.168.1.102和192.168.1.101。当ISP服务器需要远程登入局域网10内某一CPE时,请发出的telnet请求封包目的地址应为:CPE101IP+对应CPE的telnet默认端口,当telnet请求封包到达CPE101时,登入模块10123对telnet请求封包的目的端口进行判断,若不与CPE101telnet默认端口340一致,则依据port forwarding转发规则(转发目的端口范围为341-344的封包)对telnet请求封包进行转发,这其中有一个依据端口分配及配置结果对目的地址转换的过程,如图10是登入模块10123对telnet请求封包目的地址进行转换的一个示例列表。以ISP服务器20想要远程登入CPE106进行管理为例,因CPE106的telnet默认端口为343,故telnet请求封包最初的目的地址应该是:10.130.21:343,登入模块10123通过查询知道,此telnet请求封包的目的端口343不等于自身telnet默认端口340,故登入模块10123对其进行转发,从原先存储的端口分配及配置情况,登入模块10123可以知道343端口对应于CPE106且是来自CPE104的上报,故登入模块10123会把telnet请求封包的目的地址转化为CPE104IP:343即192.168.1.100:343,telnet请求封包被转发给CPE104。而CPE104对这一个telnet请求封包的处理与CPE101是相似的,如此层层递进,最终,目的地址为10.130.21:343的telnet请求封包会到达CPE106处,ISP服务器可直接与CPE106建立远程通信。
关闭模块10124用于接收来自上层网络的相关命令,关闭远程登录服务,重置原端口配置,释放相应端口。仍以CPE101为例,当CPE101接收到来自ISP服务器20的disable telnet send命令,指示局域网10内所有属ISP管理的CPE关闭远程登录服务时,关闭模块10124关闭CPE101的远程登录服务,释放原先的端口340,同时,将disable telnet send命令向下传递发给CPE102和CPE104,要求它们也关闭远程登录服务。CPE102和CPE104完成相应操作之后,会以disable telnetresponse做为回应,告知CPE101已完成相应操作。关闭模块10124收到CPE102和CPE104回复的disable telnet send命令后,关闭port forwarding,并以disable telnetsend命令回复ISP服务器20,告知其已关闭远程登录服务,同时原有端口配置已失效。其他下层网络中属于ISP服务器20管理的CPE在收到disable telnet send命令后的做法与CPE101相同,唯一不同在于处于最底层网络的CPE,无需再往下发出disable telnet send命令,同时因其并未开通port forwarding,故也无需关闭动作。
由此可见,本发明实施方式中所提供CPE通过层层搜寻确认属于ISP服务器20范围内的所有CPE数量,再由ISP服务器20为root CPE随机分配端口做为telnet端口,局域网10内属于ISP服务器20管理的各层CPE再各自完成对下层CPE的端口分配及配置,开启远程登录服务及port forward功能,由此,ISP每次可通过动态分配的端口一次telnet局域网10内各层网络的单个CPE,实现单一远程连线,同时动态端口也使远程登录更为安全,不易被攻击,实现了ISP对其服务范围内CPE更有效、更安全的管理。
请参阅图3,所示为本发明中CPE另一实施方式的功能模块图。此处以rootCPE101为例进行说明。CPE101包括搜寻模块10121、配置模块10122、登入模块10223、关闭模块10124、数据库10125、处理器1011以及存储媒介1012。模块10121~10125为存储于存储媒介1012中的可执行程序,功能与图2中描述的一致,处理器1011执行这些可执行程序,以实现其各自功能。
请参阅图4,所示是本发明远程登入用户端网络设备的方法一实施方式的流程图。在本实施方式中,该方法通过图2或图3所示的各个模块来实现。下面以CPE101为例进行叙述。
在步骤S400中,已验证成功的CPE101的搜寻模块10121接收到ISP搜寻命令后对第二层网络中的所有CPE发出验证命令进行验证及对验证成功的确认属于ISP服务器20管理的第二层CPE发出搜寻命令,搜寻模块10121收到属于ISP服务器20管理的第二层CPE各自回应的搜寻结果(包括搜寻数量等)后,将所有收到的搜寻数量叠加后加1后即为CPE101的搜寻数量,搜寻模块10121将此结果回应ISP服务器20。
在步骤S402中,ISP服务器20为CPE101随意分配一动态端口340并发送openport send命令给配置模块10122,要求在此基础上对局域网10内所有属于ISP服务器20管理的CPE进行端口分配及配置。配置模块10122收到上述分配的端口号340及命令后,在端口340的基础上为下层网络中的CPE102和CPE104分别分配端口344和341,然后分别将分配的端口号连同open port send命令一起发给CPE102和CPE104,CPE102和CPE104完成相应端口分配和配置后,以open portresponse回应配置模块10122,告知其第二层网络及以下属于ISP服务器20管理的CPE的端口分配及配置情况(包括每个CPE的默认telnet端口及port forwarding规则)。
在步骤S404中,配置模块10122收到上述回复后,开启远程登录服务,以ISP服务器20分配的端口340作为telnet默认端口,同时开启port forwarding,转发规则为:转发目的端口范围为CPE101所有下层网络中属于ISP服务器20管理的的telnet默认端口号的封包,至此,CPE101完成端口分配及配置,以open port response回应ISP服务器20,告知其局域网10中所有属于ISP管理的CPE的端口分配及配置情况。
在步骤S406中,登入模块10123通过telnet默认端口340监听来自ISP服务器20的telnet请求,当telnet请求封包的目的端口与CPE101的telnet默认端口340匹配时,则认为此telnet请求是发给CPE101的,于是,登入模块10123通过端口340响应ISP服务器20的telnet请求,与ISP服务器20建立远程通信,接收其对对应CPE101的管理。
请参阅图5,所示为本发明中图4中步骤S400中实现CPE搜寻一实施方式的细化流程图。在本实施方式中,该方法通过图2所示的各个模块来实现。下面以CPE101为例进行叙述。
在步骤S500、S502和S504中,搜寻模块10121接收到ISP服务器20的认证要求后发送会发送预先约定的用户名与密码作为回应,验证成功后等待ISP服务器20进一步命令,当收到ISP服务器20的搜寻命令时,才开始搜寻动作以确认局域网10内属于ISP服务器20管理的CPE总数量。
在步骤S506中,搜寻模块10121判断CPE101是否存在下层CPE,若有,进入步骤S508,发送认证要求至第二层网络中的所有CPE,进入步骤S508;若没有,则进入步骤S524,直接回应ISP端搜寻结果,搜寻结果为:局域网10内属于ISP服务器20管理CPE数量N=1,即仅有CPE101一个。
在步骤S510中,若搜寻模块10121有从第二层网络的CPE中收到预先约定的用户名与密码,则说明第二层网络中存在属于ISP管理CPE(此处为CPE102和CPE104)。
在步骤S514中,搜寻模块10121向CPE102和CPE104发送搜寻命令并开始计时,计时时间T为ISP服务器20在发送搜寻命令时所预设,在后续层层递进的搜索中逐步递减,如第一层为T,则第二层可为T/2,依此类推。
在步骤S516中,若搜寻模块10121已收到CPE102和CPE104回应的搜寻结果包括CPE搜寻数量,则进入步骤S518,对所有收到的回应结果中的CPE搜寻数量求和后加1,以此作为CPE101搜寻数量,将搜寻结果回应ISP服务器20,此处加1是为了统计时将CPE101包括在内。另外,在步骤S516中,CPE101会记录所有第二层CPE下的搜寻数量,对于不属于ISP服务器20管理的CPE,则默认搜寻数量为0,如图9中所示为对此的简单示例列表,本发明对此不作限制。
若搜寻模块10121未收到CPE102和CPE104的回应,则持续监听直至计时结束,也进入步骤S518,将截止至计时结束的搜寻结果回复ISP服务器20以避免无止境搜寻。
在步骤S510中,若有第二层网络中的CPE未曾发送预先约定的用户名和密码至搜寻模块10121或发送内容无法被辨别,则在步骤S512中认为此CPE不属于ISP服务器20管理的CPE,如图1中所示CPE103,当其为无需ISP管理的个人电脑或私人网络设备时,则搜寻模块10121收到的CPE103搜寻结果将默认为0。另外,在步骤S522中,若第二层网络中中没有能通过验证的CPE,即搜寻模块10121未曾收到来自第二层网络中CPE发送的预先约定的用户名和密码,则进入到步骤S524,直接回应ISP搜寻结果,搜寻结果为:局域网10内属于ISP管理的CPE数量为1,即仅有CPE101一个。反之,则进入步骤S514。上述各层搜寻结果都将被存入数据库10125中以备查询。
如图1所示的应用环境,除CPE103不属于ISP服务器20管理外,其他CPE均接受ISP的管理,按照如图5所示方法,则ISP服务器20收到来自CPE101回应的搜寻结果应为5,此结果是层层递进而来,过程如下:最底层的CPE105和CPE106没有下层CPE,所以分别回应其上层CPE104搜寻结果为1。CPE104将收到的两个搜寻数量相加后再加上1得到3,作为搜寻结果回应CPE101。同时,与CPE104处于同一层的CPE102则回应CPE101搜寻结果为1,而CPE103因没有通过验证,已被默认为0。CPE101将所收到的所有搜寻数量求和后加1即1+3+0+1=5得到最终搜寻数量,即5,并以此回应ISP服务器20。
请参阅图6,所示是本发明中步骤S402和步骤S404中CPE实行端口分配及配置一实施方式的流程图,在本实施方式中,该方法通过图2所示的各个模块来实现。
在步骤S600中,配置模块10122持续监听来自ISP服务器20的命令,当收到ISP服务器20的open port send命令以及ISP服务器20随机为其分配的动态端口340时,从数据库10125中查询原有搜寻结果,若下层网络中有属于ISP服务器20管理的CPE,则进入步骤S604,给第二层网络中属于ISP服务器20管理的CPE102和CPE104发送open port send命令及为它们分配的端口号344和341,此处端口分配以原搜寻结果及ISP服务器20为CPE101分配的端口340为基础。上述端口分配具体过程如下:若ISP服务器20给CPE101分配的的端口为340,则配置模块10122为第二层网络中属于ISP服务器20管理的CPE102和CPE104分配的端口号则应为340以上的端口号如端口341,端口342等,具体端口号情况依据各个CPE102和CPE104原上报的搜寻数量而不同,且端口号顺序依据CPE MAC大小递增分配。例如,CPE102即原上报搜寻数量为1,而CPE104原上报搜寻数量为3,且CPE102的MAC地址大于CPE104,则配置模块10122给CPE104分配的端口号为340+1=341,给CPE102分配的端口号为340+1+3=344.上述为CPE101为第二层网络中CPE102和CPE104分配端口及发送相关命令的过程,对于第二层以下网络中的CPE,其端口分配与配置情况均与此相同,且端口分配及配置情况将会层层上报。上述分配结果将存入数据库10125以备查询。
在步骤S606中,CPE102和CPE104在收到open port send后会对此命令做出回应(回复第二层以下CPE的端口分配及配置情况),配置模块10122收到回应后,开启CPE101的远程登录服务,以ISP服务器20为自身分配的端口号即端口340作为telnet默认端口,同时,开启port forward,转发规则为:转发目的端口为CPE101所有下层网络中属于ISP服务器20管理的CPE的telnet默认端口号的封包,也即转发目的端口范围为341-344的封包。至此,CPE101局域网10内各属于ISP服务器20管理的CPE的端口分配和配置完成,配置模块10122以open port response回应ISP服务器20,告知其局域网10中所有属于ISP管理的CPE的端口分配及配置情况。
在步骤S602中,若配置模块10122经查询发现CPE101下层网络中并无属于ISP服务器20管理的CPE,则直接开启远程登录服务,以ISP服务器20为自身分配的端口340作为telnet默认端口,回应ISP服务器20open port response以告知其端口分配及配置情况。
请参阅图7,所示是图4中步骤S404中实现远程登录CPE一实施方式的流程图。在本实施方式中,该方法通过图2或图3中所示的各个模块来实现。下面以CPE101为例对图7进行描述。
在步骤S700中,登入模块10123通过telnet默认端口340监控来自上层网络的telnet请求,当接收到telnet请求封包后,进入步骤S702,若telnet请求封包的目的端口与telnet默认端口340匹配时,则认为此telnet请求是发给CPE101的,进入步骤S704。反之,若端口匹配失败,则进入步骤S706。
在步骤S704中,登入模块10123通过端口340接收ISP服务器20的telnet请求,与ISP服务器20建立远程通信,接收其对CPE101的管理。
在步骤S706中,登入模块10123依据port forwarding转发规则对telnet请求封包进行转发,直至封包到达其目的端口对应的CPE。
此处,假设CPE101与公网进行通信的外部IP为10.130.21,CPE102和CPE103的在局域网10的内部IP分别为192.168.1.102和192.168.1.101。则图7的具体实现过程如下:当ISP服务器需要远程登入局域网10内某一CPE时,发出的telnet请求封包目的地址应为:CPE101IP+对应CPE的telnet默认端口,当telnet请求封包到达CPE101时,登入模块10123对telnet请求封包的目的端口进行判断,若不与CPE101telnet默认端口340一致,则依据port forwarding转发规则(转发目的端口范围为341-344的封包)对telnet请求封包进行转发,这其中有一个依据端口分配及配置结果对目的地址进行转换的过程,如图10是登入模块10123对telnet请求封包目的地址进行转换的一个示例列表。以ISP服务器20想要远程登入CPE106进行管理为例,因CPE106的telnet默认端口为343,故telnet请求封包最初的目的地址应该是:10.130.21:343,登入模块10123通过查询知道,此telnet请求封包的目的端口343不等于自身telnet默认端口340,故登入模块10123对其进行转发,从原先存储的端口分配及配置情况,登入模块10123可以知道端口343对应于CPE106且是来自CPE104的上报,故登入模块10123会把telnet请求封包的目的地址转化为CPE104IP:343即192.168.1.100:343,于是telnet请求封包被转发给CPE104。而CPE104对这一个请求封包的处理与CPE101是相似的,如此层层递进,最终,目的地址为10.130.21:343的telnet请求封包会到达CPE106处,ISP服务器20可直接与CPE106通过端口343建立远程通信。请参阅图8,所示是图8是本发明用户端网络设备中关闭远程登录服务一实施方式的流程图。在本实施方式中,该方法通过图2或图3中所示的各个模块来实现。下面以CPE101为例对图8进行描述。
在步骤S800中,关闭模块10124持续监听来自ISP服务器20的命令,当CPE101接收到来自ISP服务器20的disable telnet send命令,指示局域网10内所有属ISP管理的CPE关闭远程登录服务时,进入步骤S802。
在步骤S802中,关闭模块10124查询数据库10125,若CPE101下有属于ISP服务器20管理的下层CPE,则进入步骤S804,关闭CPE101的远程登录服务,释放原先的端口340。同时,将disable telnet send命令向下传递发给CPE102和CPE104,要求它们也关闭远程登录服务。CPE102和CPE104完成相应操作之后,会以disable telnet response做为回应,告知CPE101已完成相应操作。
在步骤S806中,关闭模块10124收到CPE102和CPE104回复的disable telnetsend命令后,进入步骤S808,关闭port forwarding,并以disable telnet send命令回复ISP服务器20,告知其已关闭远程登录服务,同时原有端口配置已失效。
在步骤S802中,若经查询CPE101下没有属于ISP服务器20管理的下层CPE,则直接进入步骤S810,关闭CPE101的远程登录服务,释放原先的端口340。
需要说明的是,其他下层网络中属于ISP服务器20管理的CPE在收到disabletelnet send命令后的做法与CPE101相同,唯一不同在于处于最底层网络的CPE,无需再往下发出disable telnet send命令,同时因其并未开通port forwarding,故也无需关闭动作。
需要说明的是,上述图4~图8都以root CPE即CPE101与ISP服务器20的通信过程为例进行说明,对于局域网中其他属于ISP服务器20管理CPE,其功能与CPE101相同,上下层网络间CPE间通信过程与CPE101和ISP服务器20的通信过程也是类似的,故此不做详细说明。
由此可见,本发明实施方式中所提供的CPE及远程登录方法通过层层搜寻确认属于ISP服务器20范围内的所有CPE数量,再由ISP服务器20为root CPE随机分配端口做为telnet端口,局域网10内属于ISP服务器20管理的各层CPE再各自完成对下层CPE的端口分配及配置,开启远程登录服务及port forward功能,由此,ISP每次可通过动态分配的端口一次telnet局域网10内各层网络的单个CPE,实现单一远程连线,同时动态端口也使远程登录更为安全,不易被攻击,实现了ISP对其服务范围内CPE更有效、更安全的管理。
Claims (10)
1.一种用户端网络设备,与局域网内的上层网络和下层网络通信,所述上层网络与下层网络皆包括至少一个其他用户端网络设备,所述局域网与ISP服务器通信,其特征在于,所述用户端网络设备包括:
搜寻模块,用于从所述上层网络接收到搜寻命令后对所述下层网络中的其他用户端网络设备进行搜寻,确认所述下层网络中属于所述ISP服务器管理的其他用户端网络设备的数量,并将所述数量报告给所述上层网络;
配置模块,用于在接收到所述上层网络的配置命令后进行端口配置并接收所述上层网络所分配的端口,所述端口配置包括:开启远程登录服务,以所述上层网络分配的端口为所述用户端网络设备的远程登录默认端口,依据所述上层网络分配的端口及所述搜寻模块报告的所述数量对所述下层网络中属于所述ISP服务器管理的其他用户端网络设备进行端口分配,发送为其他用户端网络设备分配的端口及配置命令至所述下层网络中属于所述ISP服务器管理的其他用户端网络设备;及
登入模块,用于通过所述远程登录默认端口监听来自所述上层网络的远程登录请求,当所述远程登录请求的封包目的端口与所述远程登录默认端口匹配时,通过所述远程登录默认端口与所述ISP服务器建立远程通信连接。
2.如权利要求1所述的用户端网络设备,其特征在于,当所述用户端网络设备处于局域网最高层时,所述用户端网络设备与所述ISP服务器通信,接收所述ISP服务器的搜寻命令、配置命令及远程登录请求,所述ISP服务器为所述根网络设备分配的端口为随机分配的动态端口。
3.如权利要求1所述的用户端网络设备,其特征在于,所述用户端网络设备还包括关闭模块,所述关闭模块用于从所述上层网络接收关闭远程登录服务的命令,关闭所述用户端设备的远程登录服务,释放所述远程登录默认端口。
4.如权利要求1所述的用户端网络设备,其特征在于,当所述用户端网络设备不处于最底层网络时,所述配置模块还用于开启封包转发功能,所述关闭模块还用于发送关闭远程登录服务命令至所述下层网络中属于所述ISP服务器管理的其他用户端网络设备,并关闭所述封包转发功能。
5.如权利要求1所述的用户端网络设备,其特征在于,所述配置模块还用于接收所述下层网络中所有属于所述ISP服务器管理的其他用户端网络设备回复的端口分配及配置结果。
6.一种远程登录的方法,用于用户端网络设备,所述用户端网络设备与局域网内的上层网络和下层网络通信,所述上层网络与下层网络皆包括至少一个其他用户端网络设备,所述局域网与ISP服务器通信,其特征在于,所述方法包括:
从所述上层网络接收到搜寻命令后对所述下层网络中的其他用户端网络设备进行搜寻,确认所述下层网络中属于所述ISP服务器管理的其他用户端网络设备的数量,并将所述数量报告给所述上层网络;
接收到所述上层网络的配置命令后进行端口配置并接收所述上层网络所分配的端口,所述端口配置包括:开启远程登录服务,以所述上层网络分配的端口为为远程登录默认端口依据所述上层网络分配的端口及所述搜寻模块报告的所述数量对所述下层网络中属于所述ISP服务器管理的其他用户端网络设备进行端口分配,,发送为其他用户端网络设备分配的端口及配置命令至所述下层网络中属于所述ISP服务器管理的其他用户端网络设备;及
通过所述远程登录默认端口监听来自所述上层网络的远程登录请求,当所述远程登录请求的封包目的端口与所述远程登录默认端口匹配时,通过所述远程登录默认端口与所述ISP服务器建立远程通信连接。
7.如权利要求6所述的方法,其特征在于,所述方法还包括:
当所述用户端网络设备处于局域网最高层时,所述用户端网络设备与所述ISP服务器通信,接收所述ISP服务器的搜寻命令、配置命令及远程登录请求,所述ISP服务器为所述用户端网络设备分配的端口为随机分配的动态端口。
8.如权利要求6所述的方法,其特征在于,所述方法还包括:
从所述上层网络接收关闭远程登录服务的命令;及
关闭所述用户端设备的远程登录服务,释放所述远程登录默认端口。
9.如权利要求6所述的方法,其特征在于,所述方法还包括:
当所述用户端网络设备不处于最底层网络时,开启封包转发功能;
发送关闭远程登录服务命令至所述下层网络中属于所述ISP服务器管理的其他用户端网络设备;及
关闭所述封包转发功能。
10.如权利要求6所述的方法,其特征在于,所述方法还包括:
接收所述下层网络中属于所述ISP服务器管理的其他用户端网络设备回复的端口分配及配置结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410086309.7A CN104917719B (zh) | 2014-03-10 | 2014-03-10 | 用户端网络设备及远程登录的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410086309.7A CN104917719B (zh) | 2014-03-10 | 2014-03-10 | 用户端网络设备及远程登录的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104917719A true CN104917719A (zh) | 2015-09-16 |
| CN104917719B CN104917719B (zh) | 2018-03-20 |
Family
ID=54086432
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410086309.7A Active CN104917719B (zh) | 2014-03-10 | 2014-03-10 | 用户端网络设备及远程登录的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104917719B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108989271A (zh) * | 2017-06-05 | 2018-12-11 | 中兴通讯股份有限公司 | 一种家庭网关端口防攻击的方法和装置 |
| CN111314106A (zh) * | 2019-12-16 | 2020-06-19 | 上海邸客网络科技有限公司 | 一种局域网下的服务器远程管理方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1437358A (zh) * | 2002-02-07 | 2003-08-20 | 华为技术有限公司 | 基于远程登录互联网协议的网络设备中继管理的实现方法 |
| CN1441569A (zh) * | 2002-02-27 | 2003-09-10 | 华为技术有限公司 | 一种网络设备的集群管理方法 |
| WO2007030970A1 (fr) * | 2005-09-12 | 2007-03-22 | Zte Corporation | Systeme de gestion par grappe dans une couche de commutation ethernet et procede associe |
| CN101047698A (zh) * | 2006-03-29 | 2007-10-03 | 鸿富锦精密工业(深圳)有限公司 | 远程访问保护***及方法 |
| US20100263042A1 (en) * | 2007-11-20 | 2010-10-14 | Zte Corporation | Method and System for Implementing the Inter-Access of Stack Members |
| CN102013998A (zh) * | 2010-11-30 | 2011-04-13 | 广东星海数字家庭产业技术研究院有限公司 | 一种基于tr-069协议实现家庭网络的管理方法 |
| CN102123050A (zh) * | 2011-03-09 | 2011-07-13 | 成都勤智数码科技有限公司 | 一种网络终端管理的方法 |
| TW201327206A (zh) * | 2011-12-30 | 2013-07-01 | Aten Int Co Ltd | 遠端管理系統、遠端管理裝置及遠端管理方法 |
-
2014
- 2014-03-10 CN CN201410086309.7A patent/CN104917719B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1437358A (zh) * | 2002-02-07 | 2003-08-20 | 华为技术有限公司 | 基于远程登录互联网协议的网络设备中继管理的实现方法 |
| CN1441569A (zh) * | 2002-02-27 | 2003-09-10 | 华为技术有限公司 | 一种网络设备的集群管理方法 |
| WO2007030970A1 (fr) * | 2005-09-12 | 2007-03-22 | Zte Corporation | Systeme de gestion par grappe dans une couche de commutation ethernet et procede associe |
| CN101047698A (zh) * | 2006-03-29 | 2007-10-03 | 鸿富锦精密工业(深圳)有限公司 | 远程访问保护***及方法 |
| US20100263042A1 (en) * | 2007-11-20 | 2010-10-14 | Zte Corporation | Method and System for Implementing the Inter-Access of Stack Members |
| CN102013998A (zh) * | 2010-11-30 | 2011-04-13 | 广东星海数字家庭产业技术研究院有限公司 | 一种基于tr-069协议实现家庭网络的管理方法 |
| CN102123050A (zh) * | 2011-03-09 | 2011-07-13 | 成都勤智数码科技有限公司 | 一种网络终端管理的方法 |
| TW201327206A (zh) * | 2011-12-30 | 2013-07-01 | Aten Int Co Ltd | 遠端管理系統、遠端管理裝置及遠端管理方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108989271A (zh) * | 2017-06-05 | 2018-12-11 | 中兴通讯股份有限公司 | 一种家庭网关端口防攻击的方法和装置 |
| CN111314106A (zh) * | 2019-12-16 | 2020-06-19 | 上海邸客网络科技有限公司 | 一种局域网下的服务器远程管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104917719B (zh) | 2018-03-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8307093B2 (en) | Remote access between UPnP devices | |
| CN107465529B (zh) | 客户终端设备管理方法、***及自动配置服务器 | |
| KR100791298B1 (ko) | 홈 네트워크에서의 디바이스 제어 장치 및 방법 | |
| US8543674B2 (en) | Configuration of routers for DHCP service requests | |
| CN105376299B (zh) | 一种网络通信方法、设备及网络附属存储设备 | |
| US20190215308A1 (en) | Selectively securing a premises network | |
| CN101896897B (zh) | 在远程访问环境中提供可访问家庭网络信息的装置和方法 | |
| JP2011517545A (ja) | UPnPとSTUNを組み合わせることに基づくNAT越え方法 | |
| US11310194B2 (en) | Cloud access to local network addresses | |
| KR101499549B1 (ko) | 원격 접속 서비스를 제공하는 UPnP 장치 및 그 방법 | |
| EP3142322B1 (en) | Auto configuration server and method | |
| CN105594159A (zh) | 使用服务标识符的网络配置 | |
| CN108293076A (zh) | 网络端点间的媒体会话 | |
| KR102270909B1 (ko) | 멀티미디어 공유 방법, 등록 방법, 서버 및 프록시 서버 | |
| US20060092931A1 (en) | System and method for managing devices within a private network via a public network | |
| US7620723B2 (en) | Network management | |
| JP4576637B2 (ja) | ネットワークカメラ、管理サーバおよび映像配信システム | |
| US20120210010A1 (en) | Communications system | |
| CN104917719A (zh) | 用户端网络设备及远程登录的方法 | |
| US20130111577A1 (en) | Connection server, communication system, and communication method | |
| US20150134843A1 (en) | Method of establishing network connection and system thereof | |
| JP2008098937A (ja) | 仮想ネットワーク通信システムおよび通信端末 | |
| KR100492543B1 (ko) | 홈 네트워크 내의 디바이스 원격 제어 방법 및 시스템 | |
| KR101586058B1 (ko) | Nat환경을 고려한 피투피 통신 연결 장치 및 이를 이용한 피투피 통신 연결 방법 | |
| KR100548265B1 (ko) | 사설 ip 기반 네트워크에서의 디바이스 제어 시스템 및방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20180226 Address after: 201613 Shanghai City, Songjiang District Songjiang Export Processing Zone South Road No. 1925 Applicant after: Ambit Microsystems (Shanghai) Ltd. Address before: 201613 Shanghai City, Songjiang District Songjiang Export Processing Zone South Road No. 1925 Applicant before: Ambit Microsystems (Shanghai) Ltd. Applicant before: HON HAI PRECISION INDUSTRY Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20181228 Address after: No. 590 Xingwang Road, Bengbu High-tech Zone, Anhui Province Patentee after: BENGBU KEDA ELECTRICAL EQUIPMENT Co.,Ltd. Address before: 201613 Shanghai Songjiang District Songjiang Export Processing Zone South Le road 1925 Patentee before: Ambit Microsystems (Shanghai) Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20221202 Address after: Room 413C, 4/F, Building 2, No. 669 Chuansha Road, Pudong New Area, Shanghai 200000 Patentee after: Shanghai Yi Yuan Industrial Automation Technology Co.,Ltd. Address before: No. 590 Xingwang Road, Bengbu High-tech Zone, Anhui Province Patentee before: BENGBU KEDA ELECTRICAL EQUIPMENT Co.,Ltd. |
|
| TR01 | Transfer of patent right |