网络管理方法和网络管理系统

1.一种网络管理方法，其特征在于，用于在同一个管理系统中对网络用户以及网络设备进行管理，该方法包括：
将用户以及与该用户通信的网络设备作为两类管理对象，建立所述两类管理对象之间的关联关系；
根据所建立的关联关系，确定与当前管理对象相关联的另一类管理对象；
至少提供一个对所述另一类管理对象进行管理操作的依据或途径。
2.如权利要求1所述的方法，其特征在于，所述建立所述两类管理对象之间的关联关系为：将用户在网络中的唯一标识作为关联特征信息，建立用户与关联特征信息的对应关系，所述用户通信的接入网络设备和中间网络设备在报文转发过程中将所述关联特征信息学习到自身，利用该关联特征信息将所述用户、接入网络设备以及中间网络设备进行关联。
3.如权利要求2所述的方法，其特征在于，所述关联特征信息为用户终端的媒体访问控制MAC地址、互联网协议IP地址、出厂序列号或端口号中的任意一个。
4.如权利要求1所述的方法，其特征在于，所述当前管理对象是用户，所述确定与当前管理对象相关联的另一类管理对象为：以作为当前管理对象的用户为索引，依照所述关联关系，确定与所述用户相关联的接入网络设备；
所述至少提供一个对所述另一类管理对象进行管理操作的依据或途径为：以可视形式对预先设置的、与所述相关联的接入网络设备相关的网络用户管理规则进行显示。
5.如权利要求4所述的方法，其特征在于，所述对预先设置的网络用户管理规则进行显示之后，进一步包括：确定当前被选中的网络用户管理规则，依照该管理规则对所述相关联的接入网络设备执行管理操作。
6.如权利要求1所述的方法，其特征在于，所述当前管理对象是网络设备，所述确定与当前管理对象相关联的另一类管理对象为：以作为当前管理对象的网络设备为索引，依照所述关联关系，确定与所述网络设备通信的用户；
所述建立所述两类管理对象之间的关联关系之前，进一步包括：在为用户开通业务时，建立并保存所述用户与所开通业务之间的对应关系，并保存被开通的业务信息，将用于开通所述业务的业务部署信息下发到所述用户对应的接入网络设备上。
7.如权利要求6所述的方法，其特征在于，将管理员在预先设置的拓扑界面中选择的网络设备作为当前管理对象；
所述至少提供一个对所述另一类管理对象进行管理操作的依据或途径包括：获取与所述作为当前管理对象的网络设备相关联的用户的用户信息；将作为当前管理对象的网络设备及与其相关联的用户的用户信息以可视形式对应显示于所述拓扑界面中。
8.如权利要求6所述的方法，其特征在于，所述建立所述两类管理对象之间的关联关系之后，进一步包括：在检测到告警事件时，根据检测到的告警事件，将与该告警事件对应的网络设备确定为所述当前管理对象；
所述至少提供一个对所述另一类管理对象进行管理操作的依据或途径为：根据检测到的告警事件，与所述网络设备通信的用户的用户信息显示于预先设置的告警界面和拓扑界面中。
9.如权利要求8所述的方法，其特征在于，所述告警事件为安全事件；
所述告警事件对应的网络设备为：受到该安全事件影响的网络设备；
所述确定与所述网络设备通信的用户之后，进一步包括：根据所述安全事件，在与所述网络设备通信的用户中确定引起安全事件的用户；
所述至少提供一个对所述另一类管理对象进行管理操作的依据或途径进一步包括：将所述受到该安全事件影响的网络设备信息、和/或引起安全事件的用户的用户信息显示于所述预先设置的告警界面和拓扑界面中。
10.如权利要求9所述的方法，其特征在于，所述至少提供一个对所述另一类管理对象进行管理操作的依据或途径进一步包括：获取所述引起安全事件的用户对应的接入网络设备的网络设备性能数据、和/或该用户的用户业务性能数据、和/或在网络接入过程中保存的用户认证数据，供网络管理员根据该数据确定所述安全事件的发生原因。
11.如权利要求8所述的方法，其特征在于，所述建立所述两类管理对象之间的关联关系之后，进一步包括：根据预先设置的网络设备性能管理规则，对流经所述网络设备的数据流量以及所述网络设备的运行状态进行监测和统计，获得网络设备性能数据；
所述告警事件为网络设备性能数据超过预先设置的阈值；
所述将与该告警事件对应的网络设备确定为所述当前管理对象为：将网络设备性能数据超过阈值的网络设备确定为所述当前管理对象；
所述至少提供一个对所述另一类管理对象进行管理操作的依据或途径进一步包括：获取当前管理对象的网络设备信息；根据所述用户与所开通业务之间的对应关系，查找与所述当前管理对象相关联的用户对应的业务；将所述当前管理对象的网络设备信息、和/或相关联的用户的业务信息显示于所述预先设置的告警界面和拓扑界面中，以供网络管理员判断网络设备性能对用户业务的影响。
12.如权利要求8所述的方法，其特征在于，所述建立所述两类管理对象之间的关联关系之后，进一步包括：根据预先设置的用户业务性能管理规则，对流经网络设备的承载有指定用户、指定业务的数据流量进行监测和统计，获得各用户业务性能数据；
所述告警事件为用户业务性能数据超过预先设置的阈值；
所述将与该告警事件对应的网络设备确定为所述当前管理对象为：将用户业务性能数据超过阈值的网络设备确定为当前管理对象；
所述至少提供一个对所述另一类管理对象进行管理操作的依据或途径进一步包括：获取用户业务性能数据超过阈值的网络设备的网络设备信息；将获取到的网络设备信息显示于所述预先设置的告警界面和拓扑界面中，以供网络管理员判断用户业务性能对网络设备的影响。
13.如权利要求9、11或12所述的方法，其特征在于，预先设置告警事件与告警处理操作的对应关系，所述显示于预先设置的告警界面和拓扑界面中之后，进一步包括：执行所述告警事件对应的处理操作。
14.如权利要求1所述的方法，其特征在于，所述建立所述两类管理对象之间的关联关系之前，进一步包括：提供一个统一的管理员登录途径，在收到管理员的登录请求时，对管理员进行认证，并在认证通过时，允许所述管理员登录并允许其在所述管理系统中同时管理用户及网络设备。
15.如权利要求1所述的方法，其特征在于，所述至少提供一个对所述另一类管理对象进行管理操作的依据或途径之后，进一步包括：将对用户和/或网络设备所执行的操作记录在预先设置的一个统一审计日志中。
16.如权利要求1所述的方法，其特征在于，该方法进一步包括：根据所述对另一类管理对象进行管理操作的依据对所述当前管理对象进行管理。
17.一种网络管理系统，其特征在于，用于在该网络管理系统中对网络用户以及网络设备进行管理，该系统包括：管理模块和存储模块，其中，
所述管理模块将用户以及与该用户通信的网络设备作为两类管理对象，建立所述两类管理对象之间的关联关系，并将该关联关系发送给所述存储模块；根据从存储模块读取的关联关系，确定与当前管理对象相关联的另一类管理对象；至少提供一个对所述另一类管理对象进行管理操作的依据或途径；
所述存储模块保存来自于所述管理模块的关联关系。
18.如权利要求17所述的系统，其特征在于，所述管理模块包括控制子模块，所述控制子模块从所述存储模块中获取所述关联关系，在确定当前管理对象为用户时，以作为当前管理对象的用户为索引，依照所述关联关系，确定与所述用户相关联的接入网络设备，至少提供一个对所述接入网络设备进行管理操作的依据或途径；在确定当前管理对象为网络设备时，以作为当前管理对象的网络设备为索引，依照所述关联关系，确定与所述网络设备通信的用户，至少提供一个对所述用户进行管理操作的依据或途径。
19.如权利要求18所述的系统，其特征在于，所述管理模块进一步包括告警子模块，检测告警事件，在确定出现告警事件后，将该告警事件发送给所述控制子模块；
所述控制子模块进一步接收所述告警事件，将所述告警事件对应的网络设备确定为所述当前管理对象，并根据所述告警事件，获取与所述网络设备通信的用户的用户信息作为对所述用户进行管理操作的依据。
20.如权利要求19所述的系统，其特征在于，所述管理模块进一步包括：性能检测子模块，根据预先设置的网络设备性能管理规则，对流经所述网络设备的数据流量以及所述网络设备的运行状态进行监测和统计，获得网络设备性能数据，并将该网络设备性能数据发送给所述告警子模块，和/或，根据预先设置的用户业务性能管理规则，对流经网络设备的承载有指定用户、指定业务的数据流量进行监测和统计，获得用户业务性能数据，并将该用户业务性能数据发送给所述告警子模块；
所述告警子模块进一步根据所述网络设备性能数据和/或用户业务性能数据确定告警事件的出现。
21.如权利要求18所述的系统，其特征在于，所述管理模块进一步包括管理员认证子模块，保存合法管理员的认证信息，接收管理员的登录请求，根据所保存的认证信息对该管理员进行认证，并在认证通过时，通知所述控制子模块允许所述管理员登录并允许其同时管理用户及网络设备。
22.如权利要求18所述的系统，其特征在于，所述管理模块进一步包括：审计子模块，接收来自于所述控制子模块的管理操作记录，并将接收到的管理操作记录保存于自身的一个统一审计日志中；
所述控制子模块进一步根据对用户和/或网络设备所执行的管理操作生成管理操作记录，并将该管理操作记录发送给所述审计子模块。
23.如权利要求17所述的系统，其特征在于，所述系统进一步包括：显示模块，接收来自于所述管理模块的对所述另一类管理对象进行管理操作的依据或途径，并以可视形式进行显示；
所述管理模块进一步用于将对所述另一类管理对象进行管理操作的依据或途径发送给所述显示模块。
24.如权利要求17所述的系统，其特征在于，该系统进一步包括业务模块，在为用户开通业务时，建立用户与所开通业务的对应关系，将该对应关系和用户的业务信息发送给所述存储模块，并将用于用户开通业务的业务部署信息发送给所述管理模块；
所述存储模块进一步保存所述用户与所开通业务的对应关系以及所述用户的业务信息；
所述管理模块进一步接收所述业务部署信息，并将接收到的该业务部署信息下发出去。
25.如权利要求24所述的系统，其特征在于，该系统进一步包括：业务动态扩展模块，为所述管理模块和业务模块提供统一的业务接口。

网络管理方法和网络管理系统\n技术领域\n[0001] 本发明涉及网络管理技术，具体涉及网络管理方法及网络管理系统。\n背景技术\n[0002] 随着互联网的迅猛发展，网络使用者对网络管理的要求也在逐步提高，针对网络设备和网络用户的管理也在向各自的领域逐步深入。\n[0003] 网络设备管理的对象是网络侧的有形的硬件，即网络设备资源。网络设备管理主要包括告警管理、拓扑管理和性能管理等。其中，告警管理是根据网络中安全检测网络设备上报的安全事件进行告警显示，并对该安全事件涉及到的网络设备进行处理。拓扑管理向管理员显示被管理网络设备形成的物理拓扑，以及网络拓扑节点处的网络设备信息。性能管理是对流经网络设备的流量和网络设备的运行状态进行监测和统计，计算诸如中央处理单元(CPU)利用率、响应时间、端口流量等性能指标，并统计各性能指标的变化，以判断网络设备的健康状况并预测网络设备的性能趋势。通过对网络设备管理，管理员可以了解网络拓扑情况、网络设备安全或故障情况、网络设备性能状况等，并依据这些信息对网络进行优化。\n[0004] 网络用户管理的对象是被纳入系统管理、通过管理系统进行认证、计费或使用其他业务的网络使用者，即用户。实际上用户是一类被称为用户资源的终端资源。网络用户管理是对网络中用户的增加、修改、查看、注销以及对用户信息和用户接入安全情况的管理。\n[0005] 随着网络用户和网络设备管理领域的深入和扩展，以及业务层应用的需要，网络设备管理和网络用户管理已经不再是相互独立的关系，逐步形成了如图1示出的现有的网络用户管理、网络设备管理和业务应用层之间的关联关系。\n[0006] 如图1所示，网络用户管理系统中的用户使用业务应用层提供的业务，因此网络用户管理系统与业务应用层相关联。为用户开通一项业务时，在业务应用层将用户与业务绑定，再根据所开通的业务对网络设备进行相应的配置，例如，为该用户的接入网络设备的端口部署访问控制列表(ACL，AccessControl List)，以实现该用户所申请业务的开通。而部署ACL是在网络设备管理系统中实现的功能，因此网络用户管理系统涉及到了网络设备管理系统中的资源和功能。由于网络用户管理系统不具备网络设备管理功能，因此需要管理员切换到网络设备管理系统中进行相应操作。\n[0007] 在网络设备管理过程中，有时也需要获得接入网络设备的用户信息及其接入安全情况，当网络设备检测到病毒攻击或恶意探测时，网络管理员需要根据获取到的用户信息直接定位到相应用户，以便迅速解决网络设备问题。可见，网络设备管理系统涉及到了网络用户管理系统中的部分资源和功能。由于网络设备管理系统不具备用户信息，因此需要管理员切换到网络用户管理系统中获取相应信息。\n[0008] 可见，为了能够实现网络设备管理和网络用户管理，管理员经常需要在两个系统之间进行切换，操作极为不便。为了解决这一问题，目前通常采用以下两种方案。\n[0009] 方案一：逐点扩展方式。在该方式下，针对网络用户管理系统或网络设备管理系统的需要，将所需的跨系统功能扩展在网络用户管理系统或者网络设备中。图2为现有的一种网络用户管理系统的结构示意图。如图2所示，该系统采用逐点扩展方式，在网络用户管理系统中设置所需的网络设备管理功能，该部分功能即图1中网络用户管理系统与网络设备管理系统之间功能重合的部分。该方式虽然能够在网络用户管理系统中实现网络设备管理的部分功能以及在网络设备管理系统中实现网络用户管理的部分功能，但具有如下缺点：\n[0010] 其一、以网络用户管理系统为例，虽然能够在网络用户管理系统中实现部分网络设备管理功能，但不能获得全面的网络设备管理功能。当管理员希望对网络用户和网络设备同时进行管理时，仍需要在网络用户管理系统和网络设备管理系统之间进行切换，增加了管理员执行管理的复杂程度。\n[0011] 其二、在需要添加新功能时，只能重新从底层开始开发，而无法将现有单纯网络设备管理系统或网络用户管理系统中已存在的功能直接添加进来，不能有效地利用现有的资源，造成重复工作和资源浪费。\n[0012] 其三、在网络用户管理系统或网络设备管理系统的设计阶段，不会为加入跨系统功能进行全面的扩展设计。因此，作为扩展部分而增加的跨系统功能很难融合在原有的管理系统中。随着扩展部分的变化或者逐渐增加，需要不断修改或增加扩展部分，使得原有的管理系统的复杂度逐渐提高，从而对管理系统的安全性和稳定性造成威胁。\n[0013] 方案二：接口联动方式。在该方式下，通过设置在网络用户管理系统、网络设备管理系统和业务应用层上的联动接口实现系统功能的联动。图3为现有的一种实现网络用户管理和网络设备管理的管理系统结构示意图，如图3所示，分别在网络用户管理系统和网络设备管理系统上扩展联动接口层，网络用户管理系统和网络设备管理系统分别通过联动接口层控制对方执行其所需的跨系统功能。业务应用层也同样通过扩展联动接口层分别建立与网络用户管理系统和网络设备管理系统之间的通道，控制网络用户管理系统和网络设备管理系统实现相应的功能。这种方式具有如下缺点：\n[0014] 其一、网络用户管理系统和网络设备管理系统仍然是两个独立的系统，分别具有各自的管理界面，因此管理员仍然不能省略系统切换的操作来同时管理网络用户和网络设备，没有解决使用复杂程度高的缺陷。\n[0015] 其二、网络设备管理系统能够通过联动接口层从网络用户管理系统中获取所需的用户信息。同理，网络用户管理系统也能够控制网络设备管理系统进行网络设备的配置。但是，由于每个管理系统具有其各自的一套资源表示方式，既使对于互联网中同一个网络设备或同一个用户，在网络用户管理系统和网络设备管理系统中的表示方式也可能不同。因此在进行联动时，联动接口层需要根据预先保存的两系统对应资源的映射关系，在本系统中对用户或网络设备进行匹配，并采用本系统能够识别的方式来表示该用户和网络设备，然后才能进行后续操作。同时，网络用户管理系统和网络设备管理系统中资源的映射关联无法被业务应用层利用，业务应用层需要在内部重新进行资源的映射。可见，附加的匹配操作以及在业务应用层进行的二次资源映射，增加了实现该网络管理系统的复杂程度。\n[0016] 其三、业务应用层需要扩展不同的联动接口层，以适用不同架构的网络用户管理系统和网络设备管理系统。因此，进一步增加了实现网络管理系统的复杂程度。\n[0017] 可见，操作复杂程度较高是上述网络设备和用户的管理方案的主要缺陷。\n发明内容\n[0018] 有鉴于此，本发明提供了一种网络管理方法，能够降低管理操作的复杂程度。\n[0019] 该方法用于在同一个管理系统中对网络用户以及网络设备进行管理，包括：\n[0020] 将用户以及与该用户通信的网络设备作为两类管理对象，建立所述两类管理对象之间的关联关系；\n[0021] 根据所建立的关联关系，确定与当前管理对象相关联的另一类管理对象；\n[0022] 至少提供一个对所述另一类管理对象进行管理操作的依据或途径。\n[0023] 其中，所述建立所述两类管理对象之间的关联关系为：将用户在网络中的唯一标识作为关联特征信息，建立用户与关联特征信息的对应关系，所述用户通信的接入网络设备和中间网络设备在报文转发过程中将所述关联特征信息学习到自身，利用该关联特征信息将所述用户、接入网络设备以及中间网络设备进行关联。\n[0024] 其中，所述关联特征信息为用户终端的媒体访问控制MAC地址、互联网协议IP地址、出厂序列号或端口号中的任意一个。\n[0025] 其中，所述当前管理对象是用户，所述确定与当前管理对象相关联的另一类管理对象为：以作为当前管理对象的用户为索引，依照所述关联关系，确定与所述用户相关联的接入网络设备；\n[0026] 所述至少提供一个对所述另一类管理对象进行管理操作的依据或途径为：以可视形式对预先设置的、与所述相关联的接入网络设备相关的网络用户管理规则进行显示。\n[0027] 较佳地，所述对预先设置的网络用户管理规则进行显示之后，进一步包括：确定当前被选中的网络用户管理规则，依照该管理规则对所述相关联的接入网络设备执行管理操作。\n[0028] 其中，所述当前管理对象是网络设备，所述确定与当前管理对象相关联的另一类管理对象为：以作为当前管理对象的网络设备为索引，依照所述关联关系，确定与所述网络设备通信的用户；\n[0029] 所述建立所述两类管理对象之间的关联关系之前，进一步包括：在为用户开通业务时，建立并保存所述用户与所开通业务之间的对应关系，并保存被开通的业务信息，将用于开通所述业务的业务部署信息下发到所述用户对应的接入网络设备上。\n[0030] 将管理员在预先设置的拓扑界面中选择的网络设备作为当前管理对象时，所述至少提供一个对所述另一类管理对象进行管理操作的依据或途径包括：获取与所述作为当前管理对象的网络设备相关联的用户的用户信息；将作为当前管理对象的网络设备及与其相关联的用户的用户信息以可视形式对应显示于所述拓扑界面中。\n[0031] 其中，所述建立所述两类管理对象之间的关联关系之后，进一步包括：在检测到告警事件时，根据检测到的告警事件，将与该告警事件对应的网络设备确定为所述当前管理对象；\n[0032] 所述至少提供一个对所述另一类管理对象进行管理操作的依据或途径为：根据检测到的告警事件，与所述网络设备通信的用户的用户信息显示于预先设置的告警界面和拓扑界面中。\n[0033] 其中，所述告警事件为安全事件；\n[0034] 所述告警事件对应的网络设备为：受到该安全事件影响的网络设备；\n[0035] 所述确定与所述网络设备通信的用户之后，进一步包括：根据所述安全事件，在与所述网络设备通信的用户中确定引起安全事件的用户；\n[0036] 所述至少提供一个对所述另一类管理对象进行管理操作的依据或途径进一步包括：将所述受到该安全事件影响的网络设备信息、和/或引起安全事件的用户的用户信息显示于所述预先设置的告警界面和拓扑界面中。\n[0037] 其中，所述至少提供一个对所述另一类管理对象进行管理操作的依据或途径进一步包括：获取所述引起安全事件的用户对应的接入网络设备的网络设备性能数据、和/或该用户的用户业务性能数据、和/或在网络接入过程中保存的用户认证数据，供网络管理员根据该数据确定所述安全事件的发生原因。\n[0038] 较佳地，所述建立所述两类管理对象之间的关联关系之后，进一步包括：根据预先设置的网络设备性能管理规则，对流经所述网络设备的数据流量以及所述网络设备的运行状态进行监测和统计，获得网络设备性能数据；\n[0039] 所述告警事件为网络设备性能数据超过预先设置的阈值；\n[0040] 所述将与该告警事件对应的网络设备确定为所述当前管理对象为：将网络设备性能数据超过阈值的网络设备确定为所述当前管理对象；\n[0041] 所述至少提供一个对所述另一类管理对象进行管理操作的依据或途径进一步包括：获取当前管理对象的网络设备信息；根据所述用户与所开通业务之间的对应关系，查找与所述当前管理对象相关联的用户对应的业务；将所述当前管理对象的网络设备信息、和/或相关联的用户的业务信息显示于所述预先设置的告警界面和拓扑界面中，以供网络管理员判断网络设备性能对用户业务的影响。\n[0042] 较佳地，所述建立所述两类管理对象之间的关联关系之后，进一步包括：根据预先设置的用户业务性能管理规则，对流经网络设备的承载有指定用户、指定业务的数据流量进行监测和统计，获得各用户业务性能数据；\n[0043] 所述告警事件为用户业务性能数据超过预先设置的阈值；\n[0044] 所述将与该告警事件对应的网络设备确定为所述当前管理对象为：将用户业务性能数据超过阈值的网络设备确定为当前管理对象；\n[0045] 所述至少提供一个对所述另一类管理对象进行管理操作的依据或途径进一步包括：获取用户业务性能数据超过阈值的网络设备的网络设备信息；将获取到的网络设备信息显示于所述预先设置的告警界面和拓扑界面中，以供网络管理员判断用户业务性能对网络设备的影响。\n[0046] 较佳地，预先设置告警事件与告警处理操作的对应关系，所述显示于预先设置的告警界面和拓扑界面中之后，进一步包括：执行所述告警事件对应的处理操作。\n[0047] 较佳地，所述建立所述两类管理对象之间的关联关系之前，进一步包括：提供一个统一的管理员登录途径，在收到管理员的登录请求时，对管理员进行认证，并在认证通过时，允许所述管理员登录并允许其在所述管理系统中同时管理用户及网络设备。\n[0048] 较佳地，所述至少提供一个对所述另一类管理对象进行管理操作的依据或途径之后，进一步包括：将对用户和/或网络设备所执行的操作记录在预先设置的一个统一审计日志中。\n[0049] 较佳地，该方法进一步包括：根据所述对另一类管理对象进行管理操作的依据对所述当前管理对象进行管理。\n[0050] 本发明还提供了一种网络管理系统，能够降低管理操作的复杂程度。\n[0051] 该系统用于在该网络管理系统中对网络用户以及网络设备进行管理，包括：管理模块和存储模块，其中，\n[0052] 所述管理模块将用户以及与该用户通信的网络设备作为两类管理对象，建立所述两类管理对象之间的关联关系，并将该关联关系发送给所述存储模块；根据从存储模块读取的关联关系，确定与当前管理对象相关联的另一类管理对象；至少提供一个对所述另一类管理对象进行管理操作的依据或途径；\n[0053] 所述存储模块保存来自于所述管理模块的关联关系。\n[0054] 其中，所述管理模块包括控制子模块，\n[0055] 所述控制子模块从所述存储模块中获取所述关联关系，在确定当前管理对象为用户时，以作为当前管理对象的用户为索引，依照所述关联关系，确定与所述用户相关联的接入网络设备，至少提供一个对所述接入网络设备进行管理操作的依据或途径；在确定当前管理对象为网络设备时，以作为当前管理对象的网络设备为索引，依照所述关联关系，确定与所述网络设备通信的用户，至少提供一个对所述用户进行管理操作的依据或途径。\n[0056] 较佳地，所述管理模块进一步包括告警子模块，检测告警事件，在确定出现告警事件后，将该告警事件发送给所述控制子模块；\n[0057] 所述控制子模块进一步接收所述告警事件，将所述告警事件对应的网络设备确定为所述当前管理对象，并根据所述告警事件，获取与所述网络设备通信的用户的用户信息作为对所述用户进行管理操作的依据。\n[0058] 较佳地，所述管理模块进一步包括：性能检测子模块，根据预先设置的网络设备性能管理规则，对流经所述网络设备的数据流量以及所述网络设备的运行状态进行监测和统计，获得网络设备性能数据，并将该网络设备性能数据发送给所述告警子模块，和/或，根据预先设置的用户业务性能管理规则，对流经网络设备的承载有指定用户、指定业务的数据流量进行监测和统计，获得用户业务性能数据，并将该用户业务性能数据发送给所述告警子模块；\n[0059] 所述告警子模块进一步根据所述网络设备性能数据和/或用户业务性能数据确定告警事件的出现。\n[0060] 较佳地，所述管理模块进一步包括管理员认证子模块，保存合法管理员的认证信息，接收管理员的登录请求，根据所保存的认证信息对该管理员进行认证，并在认证通过时，通知所述控制子模块允许所述管理员登录并允许其同时管理用户及网络设备。\n[0061] 较佳地，所述管理模块进一步包括：审计子模块，接收来自于所述控制子模块的管理操作记录，并将接收到的管理操作记录保存于自身的一个统一审计日志中；\n[0062] 所述控制子模块进一步根据对用户和/或网络设备所执行的管理操作生成管理操作记录，并将该管理操作记录发送给所述审计子模块。\n[0063] 较佳地，所述系统进一步包括：显示模块，接收来自于所述管理模块的对所述另一类管理对象进行管理操作的依据或途径，并以可视形式进行显示；\n[0064] 所述管理模块进一步用于将对所述另一类管理对象进行管理操作的依据或途径发送给所述显示模块。\n[0065] 较佳地，该系统进一步包括业务模块，在为用户开通业务时，建立用户与所开通业务的对应关系，将该对应关系和用户的业务信息发送给所述存储模块，并将用于用户开通业务的业务部署信息发送给所述管理模块；\n[0066] 所述存储模块进一步保存所述用户与所开通业务的对应关系以及所述用户的业务信息；\n[0067] 所述管理模块进一步接收所述业务部署信息，并将接收到的该业务部署信息下发出去。\n[0068] 较佳地，该系统进一步包括：业务动态扩展模块，为所述管理模块和业务模块提供统一的业务接口。\n[0069] 本发明再提供了一种计算机软件，能够降低管理操作的复杂程度。该软件包括计算机执行指令，该指令用以使得计算机设备执行上述网络管理方法。\n[0070] 本发明又提供了一种计算机可读介质，能够降低管理操作的复杂程度。该介质包括上述计算机软件。\n[0071] 本发明最后提供了一种计算机设备，包括执行上述网络管理方法的软件，以及运行该软件的硬件。\n[0072] 根据以上技术方案可见，应用本发明能够降低管理员在管理网络设备和用户过程中的操作复杂程度。具体来说，本发明的技术方案具有如下有益效果：\n[0073] 本发明的网络管理方案将用户和网络设备作为两类管理对象，并将网络用户管理功能和网络设备管理功能集成于同一管理系统中。管理员能够同时对用户和网络设备进行管理，避免了因系统切换而造成的麻烦，降低了管理操作的复杂程度。\n[0074] 网络设备的健康状况会对用户和业务造成影响，相应地，用户和业务也可能会影响到网络设备的健康状况。本发明在检测到告警事件后，能够获取到与该告警事件相关的网络设备信息、用户信息和业务信息，然后进行关联显示。从而提供了网络设备与用户间直观的关联显示和操作界面，避免了现有的管理员在网络设备管理界面和网络用户管理界面之间进行切换以获取相关信息的操作带来的不良影响，降低了管理员的操作复杂程度。\n[0075] 在业务开通过程中，管理员可以在一个界面中完成从业务设置到网络设备配置的整个流程，避免了切换界面的操作，进一步降低了管理员的管理操作复杂程度。\n[0076] 此外，由于用户和网络设备是作为统一资源出现的，因此相同的网络设备或用户具有统一的表达方式，省略了需要根据映射进行信息匹配的操作。而且，业务应用层可以直接采用这种同一的表达方式进行配置操作，避免重复映射，从而简化系统内的信息处理过程。\n[0077] 本发明还能够通过预先配置的用户业务性能管理规则，对流经网络设备并承载有指定用户的指定业务的流量进行监测和统计，获取用户业务性能数据。而后根据用户业务性能数据，对网络设备进行重新配置或更换，或者将上述指定用户的指定业务部署到其它网络设备上，从而实现了网络的优化。\n附图说明\n[0078] 图1为现有的网络用户管理、网络设备管理和业务应用层之间的关联关系示意图。\n[0079] 图2为现有的一种网络用户管理系统的结构示意图。\n[0080] 图3为现有的一种实现网络用户管理和网络设备管理的管理系统结构示意图。\n[0081] 图4为本发明网络管理方法的示例性流程图。\n[0082] 图5为本发明实施例中网络管理方法的流程图。\n[0083] 图6为本发明实施例中告警管理的流程图。\n[0084] 图7为本发明网络管理系统的基本结构示意图。\n[0085] 图8为本发明实施例中网络管理系统的结构示意图。\n具体实施方式\n[0086] 下面结合附图并举实施例，对本发明进行详细描述。\n[0087] 本发明为一种网络管理方案，其基本思想为：在同一网络管理系统中，将用户以及与该用户通信的网络设备作为两类管理对象，建立所述两类管理对象之间的关联关系；根据所建立的关联关系，确定与当前管理对象相关联的另一类管理对象，至少提供一个对另一类管理对象进行管理操作的依据或途径。\n[0088] 图4示出了基于以上基本思想的网络管理方法的示例性流程图。如图4所示，该方法包括以下步骤：\n[0089] 步骤401：将用户以及与该用户通信的网络设备作为两类管理对象，建立这两类管理对象之间的关联关系。\n[0090] 步骤402：根据所建立的关联关系，确定与当前管理对象相关联的另一类管理对象。\n[0091] 步骤403：至少提供一个对所述另一类管理对象进行管理操作的依据或途径。\n[0092] 这里，所述对另一类管理对象进行管理操作的依据是指，供管理员或者网络管理系统判断后续执行何种管理操作的信息，该信息可以是与用户和/或网络设备相关的信息。对另一类管理对象进行管理操作具体可以是对该管理对象进行增加、删除、配置等操作，也可以对该另一类管理对象进行简单的显示操作。\n[0093] 所述对另一类管理对象进行管理操作的途径是指，管理系统自动根据获取的信息分析出后续需要执行的管理操作，并可以通过可视形式将管理操作的链接显示出来。管理员可以根据管理系统提供的途径，选择所需的管理操作。\n[0094] 可见，采用图4示出的网络管理方案，将用户和网络设备统一作为受管理的对象，并将网络用户管理功能和网络设备管理功能集成于同一管理系统中。管理员能够在同一管理界面中对网络用户和网络设备进行管理，避免了因需要切换界面而造成的麻烦，降低了管理员管理操作的复杂程度。\n[0095] 此外，由于用户和网络设备处于同一管理系统中，因此相同的网络设备或用户具有统一的表达方式，省略了需要根据映射进行信息匹配的操作。而且，业务应用层可以直接采用这种统一的表达方式进行配置操作，避免重复映射，从而简化系统内的信息处理过程。\n[0096] 以下举具体实施例对本发明的网络管理方案进行详细描述。\n[0097] 图5为本发明实施例中网络管理方法的流程图。如图5所示，该方法包括：\n[0098] 步骤501：开通用户业务时，业务应用层建立并保存用户与所开通业务的之间的对应关系，保存用户的业务信息，将用于开通业务的业务部署信息下发到接入网络设备。\n[0099] 本步骤中，用户开通业务时，业务应用层将用户帐号与用户所选择的业务绑定并保存，从而建立了用户与业务的对应关系，同时将用户所开通业务的具体内容作为业务信息进行保存。然后，将业务部署信息下发到接入网络设备并完成部署，从而完成了用户业务的开通。\n[0100] 以光纤到路边、小区、大楼、家、办公室(FTTx，Fiber To The Curb、Cell、Building、Home、Office)业务为例，该业务为用户提供了不同的套餐服务，例如用户定制的不同频道的节目套餐服务等。每种套餐服务对应一个ACL。ACL就是一些规则集，根据ACL设置的规则对符合特定条件的报文进行处理。例如，开通用户申请足球节目套餐服务时，在业务应用层将该足球节目套餐服务的ACL与该用户的用户帐号绑定，同时将作为业务部署信息的ACL配置到接入网络设备的相应端口上。这样，在本地保存的绑定关系即为用户与所开通业务之间的对应关系。当用户通过接入网络设备连接网络后，可以使用开通的业务。\n这里，将把用户、网络设备和业务关联了起来的ACL称为融合对象。不同服务可能有不同的融合对象。\n[0101] 以使用两层虚拟局域网络标识的QinQ技术为用户提供个性化服务为例，本步骤中首先为用户设置一个QinQ虚拟局域网络(VLAN，Virtual LocalArea Network)号，针对每个QinQ VLAN设置个性化的用户权限和用户申请的服务内容。开通用户申请的服务时，保存用户的QinQ VLAN号及其对应的用户权限和用户申请的服务内容，将该用户的QinQ VLAN号下发到该用户的接入网络设备的相应端口上；或者先将该用户的QinQ VLAN号配置到服务器中，待用户登录后，下发到用户的接入网络设备中。这样，用户就可以使用开通的业务。\n其中，为用户设置QinQ VLAN号即设置用户和业务的对应关系，针对QinQ VLAN号保存的用户权限和用户申请服务内容即为业务信息。可见，QinQ VLAN号将用户、网络设备和业务关联了起来，QinQVLAN号就是为用户提供个性化服务中的融合对象。\n[0102] 本实施例中，融合对象通常都是网络资源对象，比如VLAN号、ACL号、QinQ号、交换机端口号、网络设备互联网(IP，Internet Protocol)地址/媒体访问控制(MAC，Media Access Control)地址/端口(Port)号等。那么，可以简单地将这些网络资源对象作为预备融合对象资源进行统一的管理。\n[0103] 网络管理系统可以为管理员提供以上开通流程的步骤向导，使得管理员根据向导逐步进行操作，在一个界面中完成开通流程的各个步骤，而无需切换界面。\n[0104] 步骤502：当用户所在的用户终端通过接入网络设备接入网络时，管理系统保存用户与用户终端MAC地址的对应关系，该用户的接入网络设备和与该用户终端通信的中间网络设备通过报文转发过程，将该用户终端的MAC地址学习到自身，从而建立了用户与接入网络设备和中间网络设备的关联关系。\n[0105] 在使用步骤501中开通的业务之前，需要将用户接入到网络中，以便实现业务数据等信息的传输。在学习MAC地址时，接入网络设备从用户终端发出的接入报文中获取到MAC地址并保存在端口上，而中间网络设备则从接入网络设备转发的来自于用户终端的报文中获取MAC地址。这样，通过以MAC地址作为关联特征信息，可以将用户、接入网络设备以及与该用户终端通信的中间网络设备关联起来。可见，用户终端的MAC地址是联系用户和网络设备的桥梁，即关联特征信息。\n[0106] 当然，用户终端的IP地址也会被接入网络设备和中间网络设备获取到，网络管理系统只要在接入时将用户终端IP和用户的对应关系保存下来，那么用户终端的IP地址也可以作为关联特征信息。可见，能够在网络中唯一表示用户或用户终端的唯一标识，都可以作为关联特征信息，例如用户终端的出厂序列号、用户标识等信息。当然，如果采用出厂序列号或用户标识，则还需要在用户接入后将该关联特征信息发送给用户的接入网络设备和中间网络设备，并由接入网络设备和中间网络设备保存，从而利用该关联特征信息将用户、接入网络设备和中间网络设备进行关联。\n[0107] 在本步骤中，接入网络设备还为该接入的用户创建动态的会话标识(SessionID)，为该用户创建的SessionID与其所在用户终端的MAC地址相对应。因此，SessionID也可以将用户及网络设备关联起来，但是在MAC的基础上产生的关联，因此可以被称为上层的关联特征信息。\n[0108] 步骤503：确定当前管理对象后，判断该当前管理对象是否为用户，如果是，则执行步骤504；否则，执行步骤505。\n[0109] 当前管理对象可以由管理员确定，可以由管理系统自动确定。\n[0110] 对于当前管理对象由管理员确定的情况，通常，管理系统会将包含用户信息的用户在线列表，以及包含网络设备分布信息及相互物理或逻辑连接关系的网络拓扑显示给管理员。其中，用户信息是指与用户相关的信息，包括用户名等用户基本信息、用户所绑定的终端、用户接入网络设备，等等。网络设备信息是指与网络中与网络设备相关的信息，包括网络设备IP地址、网络设备名称、网络设备类型信息，等等。用户信息和网络设备信息是由管理系统维护并保存的信息。\n[0111] 具体而言，网络拓扑显示操作可按照下述步骤来实现：\n[0112] a、将所有要管理的网络设备作为要显示的网络设备，获取要显示网络设备的网络设备信息；其中，要管理的网络设备是预先通过网络的自动发现机制自动从整个网络中查找的。\n[0113] b、根据获取的网络设备信息形成拓扑，并以可视形式将该拓扑显示出来。这里，显示出的拓扑为单纯的拓扑，没有融合用户信息。\n[0114] 此后，管理员在确定需要进行网络用户管理时，从用户在线列表中选择被管理的用户；在确定需要进行网络设备管理时，从网络拓扑中选择被管理的网络设备。无论上述哪种管理，管理系统均可以通过鼠标事件敏感的方式获取到被管理员点击到的管理对象信息。\n[0115] 对于当前管理对象由管理系统自动确定的情况，当管理系统检测到触发事件，会根据触发事件自动确定作为当前管理对象的用户或网络设备。例如，当管理系统检测到告警事件时，根据告警事件确定当前管理对象；或者，当管理系统检测到执行安全检查命令后，根据安全检查的对象确定当前管理对象。\n[0116] 步骤504：根据所建立的关联关系，确定与作为当前管理对象的用户相关联的接入网络设备，提供对该用户和/或该用户的接入网络设备进行管理操作的依据或途径，并结束本网络管理流程。\n[0117] 为了能够提供对该用户和接入网络设备执行管理操作，本实施例可以预先设置网络用户管理规则，作为对该用户和/或该用户的接入网络设备进行管理操作的依据，并以可视形式对该网络用户管理规则进行显示。则本步骤执行后，管理员可以从该规则中选择需要执行的管理操作，管理系统根据管理员的选择执行相应管理操作。这里的管理操作可以是将用户的用户信息以及对应的接入网络设备信息显示给管理员，可以是强制该用户和接入网络设备执行用户下线操作，还可以是进一步根据步骤501中建立的用户与业务的对应关系，将该用户对应的业务信息显示给管理员，接收经过管理员更新的业务信息并进行保存。\n[0118] 步骤505：根据所建立的关联关系，确定与作为当前管理对象的网络设备相关联的用户，提供对该网络设备和/或对与该网络设备相关联的用户进行管理操作的依据或途径，并结束本网络管理流程。\n[0119] 本步骤中提供的依据或途径可以在用于拓扑管理的拓扑界面和/或用于告警管理的告警界面中显示出来。\n[0120] 其中，在拓扑管理中，将作为当前管理对象的网络设备以及与该当前管理对象相关联的网络设备作为要显示的网络设备，获取要显示网络设备的网络设备信息，以及与所述作为当前管理对象的网络设备相关联的用户的用户信息，根据获取的网络设备信息和用户信息形成拓扑，并以可视形式将该拓扑显示出来。该拓扑不是单纯的拓扑，该拓扑中具备与网络设备相关的用户信息，即将用户信息与相关网络设备关联显示。关联显示是指在同一管理界面中将相对应的网络设备信息和用户信息进行对应显示。当管理员查看网络设备信息时，可以在同一管理界面中查看到该网络设备上接入用户的用户信息，或者在查看用户信息时，同一管理界面中查看到该用户的接入网络设备的网络设备信息。具体显示时，可以通过建立信息入口，将与网络设备相关的用户信息隐藏显示。管理员可以在连接信息入口后，看到用户信息的具体内容。例如，在拓扑界面中，右键点击网络设备后，出现“查看用户信息”的选项，管理员只需要选择该选项，拓扑界面显示接入在该网络设备上用户的用户信息，还可以出现“查看业务信息”选项，管理员选择后，拓扑界面显示接入在该网络设备用户的业务信息。可见，对于拓扑管理来说，对网络设备进行管理的依据是网络设备信息，对与该网络设备相关联的用户进行管理的依据是该用的用户信息和/或业务信息。管理系统也可以根据这些信息自动分析出具体应该执行的管理操作显示给管理员，作为管理员对当前管理对象相关联的另一类管理对象执行管理操作的途径。\n[0121] 在告警管理中，当检测到告警事件时，根据该告警事件确定告警原因，将与该告警原因对应的网络设备确定为当前管理对象，根据所确定的告警原因，对作为当前管理对象的网络设备及与该网络设备通信的用户执行告警管理操作。所执行的管理操作可以包括将告警信息、相关的网络设备信息、用户信息以及业务信息显示出来，并对与告警事件相关的设备、用户或业务进行处理。其中，告警事件可以由安全事件引发、也可以是由网络设备性能异常引发、也可以是由管理系统本身组件的异常引发，等等。但前两种是较为重要的告警。可见，对于告警管理来说，对网络设备进行管理的依据是与告警事件相关的网络设备的网络设备信息，对与该网络设备相关联的用户进行管理的依据是与上述与告警事件相关的网络设备通信的用户的用户信息和/或业务信息。管理系统也可以根据这些信息自动分析出具体应该执行的管理操作并显示给管理员，作为管理员对当前管理对象相关联的另一类管理对象执行管理操作的途径。\n[0122] 至此，完成本实施例中的网络管理流程。\n[0123] 由上述描述可见，本实施例中，由于建立了用户与网络设备间的关联关系，网络用户管理功能和网络设备管理功能被融合于同一系统之中，因此，管理员可以十分便利地同时利用上述两种管理功能执行管理操作，而无需执行系统切换，从而有效地降低了管理操作的复杂程度，并提高了管理操作的效率。\n[0124] 由于将两种管理功能融合于一个系统中，则本实施例中告警管理的便利性得到了很大程度的提高。图6示出了本实施例中告警管理的流程图。参见图6，告警管理操作包括以下步骤：\n[0125] 步骤601：判断是否检测到告警事件，如果是，则执行步骤602，否则，结束本告警管理操作流程。\n[0126] 步骤602：判断该告警事件是否为安全事件，如果是，则执行步骤603；否则，执行步骤606。\n[0127] 本步骤中，当该告警事件表明网络侧受到诸如攻击、病毒或非法访问等时，判定该告警事件为安全事件；当该告警事件表明网络侧出现性能问题时，则判定该告警事件为性能事件。\n[0128] 步骤603：根据安全事件的信息，获取受到该安全事件影响的网络设备，将获取的网络设备作为当前管理对象，根据网络设备与用户的关联关系，查找与当前管理对象相关联的用户及其用户信息；\n[0129] 本步骤中，根据安全事件信息中的源地址、目的地址、网段等信息，确定受到安全事件影响的网络设备。这里，可以将受到攻击、病毒或非法访问的接入网络设备确定为受到安全事件影响的网络设备，同时也可以根据安全事件发生的网段，将该网段内所有相关网络设备都作为受到安全事件影响的网络设备。然后，根据网络设备与用户的关联关系，查找与受到安全事件影响的网络设备相关联的用户及其用户信息。具体来说，当检测到是接入网络设备受到安全事件影响后，可以从该接入网络设备上获取MAC地址，依照管理系统保存的用户与MAC地址的对应关系，查找接入网络设备上接入的用户，在获取该用户的用户信息。当检测到是中间网络设备受到安全事件的影响后，可以直接从承载安全事件的业务报文中获取发出该报文的设备的MAC地址，然后根据用户与MAC地址的对应关系，查找该业务报文的发起用户并获取该用户的业务信息。上述这些用户都可以作为与受到安全事件影响的网络设备相关联的用户。这些用户中有一个是引起安全事件的用户。\n[0130] 为了能够得到安全事件的传播路径，还可以根据安全事件的源地址确定造成该安全事件的用户终端，引起该安全事件的设备。\n[0131] 步骤604：确定引起安全事件的用户，从该用户的用户信息中获取该用户的接入位置。\n[0132] 本步骤中确定引起安全事件的用户的方式比较灵活，可以将上述发出该报文的设备的MAC地址对应的用户作为引起安全事件的用户，获取该用户的用户信息；\n[0133] 或者，根据引起该安全事件的设备的IP地址，与用户信息中保存的用户与IP地址的绑定关系，确定引起攻击的用户并获取用户信息；\n[0134] 或者，从确定受到安全事件影响的接入网络设备上获取MAC地址，再根据管理系统保存的用户与MAC地址的对应关系，获取接入该接入网络设备的用户及其用户信息，作为引起安全事件的用户的用户信息；\n[0135] 相比较说来，第一种确定引起安全事件的用户的方式比较简单。\n[0136] 步骤605：将受到该安全事件影响的网络设备信息及其对应的用户信息，以及引起安全事件的用户信息在告警界面和拓扑界面中显示。然后直接执行步骤607。\n[0137] 本步骤中，在告警界面中的联合显示，可以采用可视化的列表形式，显示告警原因，该告警所涉及网络设备和用户。具体地，将步骤603所确定的受到安全事件影响的网络设备信息和受到安全事件影响的用户信息对应显示；显示步骤604确定的引起安全事件的用户信息，其中包括用户的接入位置。这种对应显示方式有助于管理员确定攻击来源，以及受攻击影响的网络设备、用户和业务。\n[0138] 在拓扑界面中的关联显示，可以采用可视化的图形形式，显示告警原因、该告警所涉及的设备和用户。具体地，在拓扑中显示受到攻击事件影响的网络设备信息、受到安全事件影响的用户信息、引起攻击的用户信息以及引起攻击的用户的接入位置。如果安全事件是攻击事件，还可以显示攻击路径。\n[0139] 其中，显示受到安全事件影响的网络设备时，在显示的拓扑中，将确定为受到安全事件影响的网络设备显示为预先设定的表示受到安全事件影响的颜色，还可以将受到安全事件影响的网络设备所形成的区域采用预先设定的标识安全事件影响范围的颜色显示；显示攻击路径时，根据确定的引起安全事件的网络设备与受到安全事件影响的网络设备，计算它们之间的中间节点，然后将引起安全事件的网络设备通过中间节点到达受到安全事件影响的网络设备的路径确定为攻击路径，将攻击路径显示为预先设定的表示攻击路径的颜色；显示受到安全事件影响的用户的用户信息时，在该用户的接入网络设备上提供信息入口，用户信息以信息入口的形式隐藏显示，当管理员进入信息入口后，可以看到相应的用户信息。同理，显示因起安全事件的用户时，在该用户的终端上提供信息入口，或者将该引起安全事件的用户的接入网络设备显示为表示引起安全事件网络设备的颜色并提供信息入口。\n[0140] 上述根据颜色的变化表示处于不同状态的网络设备和路径，在实际中，还可以采用其它特殊标识表示处于不同状态的网络设备和路径。例如，采用特定的图形标识。\n[0141] 本步骤中获取的受到该安全事件影响的网络设备信息及其对应的用户信息，以及引起安全事件的用户信息、以及对应与攻击事件的攻击路径信息都可以作为对受到该安全事件影响的网络设备和/或相关联的用户的管理依据。获得上述作为管理依据的信息后，管理员可以对这些信息进行查看，根据这些信息进行安全事件分析，还可以利用从信息中获取的用户名和设备名对受到该安全事件影响的网络设备和/或相关联的用户进行安全检查，或者获取受到该安全事件影响的网络设备的性能数据，或者获取与受到该安全事件影响的网络设备相关联的用户所使用业务的用户业务性能数据，从而进行进一步的分析处理。当然，管理系统也可以根据这些信息自动分析出具体应该执行的管理操作，例如控制用户下线或重新配置网络设备等，然后将分析出的管理操作显示给管理员，作为管理员对当前管理对象相关联的另一类管理对象执行管理操作的途径。\n[0142] 步骤606：根据该性能事件获取异常原因，并将受到该性能事件影响的用户信息、网络设备信息以及业务信息在告警界面和拓扑界面中进行显示。\n[0143] 本实施例中，网络管理系统在网络运行期间执行网络设备性能检测和用户业务性能检测。其中，网络设备性能检测是根据预先设置的网络设备性能管理规则，对流经网络设备上的数据流量和网络设备的运行状况进行监测，统计相关数据，以获取各种网络设备的性能数据，即网络设备性能数据；用户业务性能检测是根据预先设置的用户业务性能管理规则，采用用户+业务的过滤规则，对流经网络设备的指定用户指定业务的流量进行监测和统计，以获取用户的业务性能数据，即用户业务性能数据。\n[0144] 由于MAC地址与用户绑定，报文的协议端口可以标识报文所承载的业务，因此可以采用MAC+协议端口的过滤规则对流经网络设备的流量进行过滤，只统计网络设备配置有指定MAC地址，且业务报文中的协议端口为指定协议端口的流量，这个流量就是指定用户使用指定业务的流量。可见，过滤后只关注对应于指定用户使用指定业务的数据流量，通过对该数据流量进行统计，可以获得用户业务性能数据。这里的MAC是从网络设备上获取的，协议端口是根据MAC查找到对应的用户，根据该用户的业务信息获取该业务的协议端口。因此，用户业务性能数据的获取也体现了网络设备和网络用户的融合管理。\n[0145] 本实施例中产生性能事件的异常原因包括：网络设备健康状况异常和用户业务性能异常。\n[0146] 当确定网络设备性能数据中的一项或者多项指标超过预定阈值时，则判定网络设备健康状况异常。这里的预定阈值可以是网络设备可承受的总流量的百分比，例如：90％、\n60％等。根据所设定阈值的不同，承载在该网络设备上的业务流会受到不同程度的影响，接入该网络设备的用户也会受到相应程度的影响。例如，当总流量到达90％时，判定网络设备不健康，已经对业务和用户造成影响，当总流量达到60％时，判定该性能趋势将会对业务和用户造成影响。在网络设备健康状况异常情况下，本步骤在进行显示时，将网络设备性能数据超过阈值的网络设备确定为当前管理对象，根据该网络设备与用户的关联关系，查找与当前管理对象相关联的用户及其用户信息，根据用户与业务的对应关系，查找与当前管理对象相关联的用户所使用的业务，同时还可以获取所使用业务的业务信息。管理系统可以将上述当前管理对象的信息、用户信息以及业务信息作为管理依据在告警界面和拓扑界面显示出来。从而体现网络设备健康状况对哪些用户以及哪些业务造成了影响。并且，还可以根据上述信息来预测可能会造成影响的发展趋势。例如，可以获取该健康状况异常的网络设备的网络设备性能数据，以及该网络设备承载的指定用户、指定业务的用户业务性能数据，根据这些数据进行预测分析，得到网络设备或用户业务受到影响的趋势，从而对网络设备和/或用户进行管理。\n[0147] 具体拓扑显示时，可以在拓扑界面中，将网络设备性能数据超过阈值的网络设备设置为预先设置的表示出现性能事件的颜色，或表示为指定的图形，并在该网络设备性能数据超过阈值的网络设备处提供关联的用户信息和业务信息的信息入口，例如通过点击“业务详细信息”和“用户详细信息”来激活显示这些与网络设备性能数据超过阈值的网络设备相关的信息，以直观体现网络设备性能数据的异常会对哪些用户和哪些业务造成影响。\n[0148] 当确定用户业务性能数据中的一项或多项指标超过预定阈值时，判定用户业务性能异常，此时用户业务性能数据的变化趋势将对网络设备健康造成影响。在这种情况下，本步骤在进行显示时，将用户业务性能数据超过阈值的网络设备作为要显示的网络设备，获取该网络设备的网络设备信息。还可以根据用户与网络设备的关联关系，获取用户业务性能数据超过阈值的网络设备上接入的用户。如果需要还可以从用户信息中获取使用该用户业务的用户的接入网络设备及其网络设备信息。根据这些信息为管理员提供告警界面中的关联显示和拓扑界面中的关联显示。那么，管理员可以依据获取的信息，调整用户的接入位置或者更换性能更好的网络设备或者更换网络设备配置，以优化网络。\n[0149] 可见，本步骤中获取的受到该性能事件影响的用户信息、网络设备信息以及业务信息都可以作为对受到性能事件影响的用户和/或网络设备进行管理的依据。\n[0150] 步骤607：根据所显示的信息以及预先设置的融合管理策略，针对告警事件执行对应的处理操作。其中，融合管理策略中记载有预先设置告警事件与告警处理操作的对应关系。\n[0151] 在本步骤中，显示的信息是用于管理用户或网络设备的依据。根据这些依据以及融合管理策略，在告警界面和拓扑界面上显示建议操作的入口，或是网络管理系统自动执行建议的处理操作，从而保证了网络和用户业务两方面的健康和安全。其中，处理操作包括隔离异常用户、隔离网络设备、关闭网络设备端口、修改网络设备配置、向管理员发送电子邮件或短信通知、或改变网络设备或用户界面的显示状态，或者是以上多个处理操作的组合。\n[0152] 当管理系统显示处理操作的入口时，就是提供了对当前管理对象进行管理的途径。管理员只需要选择一个提供的处理操作就可以实现对当前管理对象相关联的另一类管理对象执行管理操作。\n[0153] 对于前述检查到安全事件的告警原因，在确定引起安全事件的用户后，其对应的处理操作可以为：自动的控制引起安全事件的用户下线，或者提示管理员控制引起安全事件的用户下线。控制用户下线的操作可以是在作为该引起安全事件的用户的接入网络设备中，将该用户对应的MAC地址删除，令该用户不能通过对应的接入网络设备访问网络，或者将管理系统保存的该用户的认证数据删除，使得用户不能通过验证，从而不能访问网络。\n[0154] 在控制用户下线后，管理员可以追溯安全事件的产生原因。此时，需要依据引起安全事件的用户具体信息进行分析。这些具体信息包括用户业务性能数据、网络设备性能数据和用户认证数据等信息中的一种或者任意组合。本发明在告警界面和拓扑界面显示与发生的用户安全事件相关的用户业务性能数据、网络设备性能数据和用户认证数据等信息，或者显示获取这些信息的信息入口，管理员可以根据需要通过信息入口，得到与安全事件相关的信息，根据得到的信息确定用户安全事件告警的原因。其中，用户业务性能数据和网络设备性能数据是用户对应的接入网络设备的相关性能数据，用户认证数据是该用户接入网络时由网络管理系统保存的。该追溯安全事件产生原因的操作，避免了现有的从网络用户管理系统的界面获取与用户安全事件相关的用户认证数据，然后切换到网络设备管理系统的界面获取网络设备性能数据的操作。同时，弥补了现有的网络管理系统中不能提供用户业务性能数据的缺陷。\n[0155] 至此，本实施例中的告警管理流程结束。\n[0156] 从上述描述可见，从检测出告警事件到管理员根据显示做出判断并执行相应操作的过程不用切换任何界面。而且不用采用现有的手段，在网络设备管理界面根据告警，从网络资源中定位告警源，再根据确定的告警源返回到用户管理界面进行对用户的管理。可见，融合显示避免了切换界面的操作，直接将与告警事件相关的网络设备以及受到影响的用户和业务显示出来，管理员根据显示进行判断和相应处理，降低了管理员管理网络的复杂程度。\n[0157] 如果图6中的步骤601没有检查到告警事件，并不能说明网络设备和用户业务是健康的。为此，本发明的网络管理方法还提供了安全检查操作，管理员可以设置网络管理系统定期进行安全检查，或者管理员不定期的控制网络管理系统执行安全检查操作。安全检查开始后，将拓扑中各节点的网络设备作为当前管理对象，获取拓扑中各节点的网络设备的网络设备信息，与这些网络设备信息相关联的用户信息和业务信息，以及网络设备性能数据和用户业务性能数据，再依据获取的信息对网络设备的健康状况、用户业务情况、网络用户安全状况进行判断，同时还可以预测网络设备性能趋势和用户业务性能趋势。或者，在安全检查开始后，将被管理的用户作为当前管理对象，获取该用户的用户信息和业务信息，与该用户相关联的网络设备的网络设备信息、以及与用户相关联的网络设备上的网络设备信息数据和用户业务性能数据，同样可以依据这些信息对网络设备健康状况、用户业务情况、网络用户安全状况进行判断。以上这些信息可以分别在不同的界面显示，也可以在拓扑界面中关联显示。\n[0158] 在日常维护操作中，本发明实施例的网络管理方法还可以提供维护界面。在维护界面中分别显示网络设备信息、用户信息、业务信息、网络设备性能数据、用户业务性能数据、用户业务的关键网络路径。也可以在拓扑界面中将以上信息进行关联显示。这些信息可以辅助管理员制定有效的策略，以指导对网络中网络设备的配置，或控制用户接入位置，从而优化网络。\n[0159] 可见，以上的显示操作都需要根据用户信息和网络设备信息进行关联显示，有些显示内容还需要根据网络设备性能数据和用户业务性能数据进行预测分析，然后关联显示。因此，管理员只要在一个界面中查看就可以了解网络设备和用户两方面的信息，避免了切换不同界面的操作，降低了管理操作的复杂程度。\n[0160] 以上有管理员参与的操作都是在管理员登录后的情况下执行的。对于本发明实现的网络管理方法，还包括通过提供一个同一的管理员登录途径，实现对管理员的统一管理。\n具体来说，在对网络管理系统进行操作前，根据预先保存的合法管理员的认证信息，当接收到管理员发起的携带有认证信息的登录请求后，根据保存的认证信息和登录请求中的认证信息对管理员进行认证，认证通过则为管理员配置权限，允许管理员登录并允许其在所述管理系统中同时管理用户及网络设备，否则拒绝管理员登录。管理员只需要登录一次，就可以对网络用户和网络设备进行管理，同时可以对业务进行管理。\n[0161] 可见，本发明对管理员的统一管理能够避免管理权限的分散和混乱。\n[0162] 本发明的网络管理方法，还包括将对用户和/或网络设备资源的操作集成起来提供统一的审计日志，供业务审计使用。如果是独立的用户操作和独立的网络设备操作，也需要将用户操作和网络设备操作统一起来进行管理，提供融合后的审计日志。\n[0163] 可见，保存融合后的审计日志，使得管理员对网络中的用户和网络设备具有全面的了解和客观的认识，便于管理员将问题直接定位到具体的网络设备和具体的用户。\n[0164] 本发明的网络管理方法除了能够提供信息的关联显示，还可以提供网络设备信息和用户信息的分别显示，以实现基本的网络管理功能。\n[0165] 为了实现本发明的网络管理方法，本发明提供了一种网络管理系统。\n[0166] 图7为本发明网络管理系统的基本结构示意图。如图7所示，该系统管理模块701和存储模块702。\n[0167] 其中，管理模块701将将用户以及与该用户通信的网络设备作为两类管理对象，建立两类管理对象之间的关联关系，并将该关联关系发送给存储模块702，根据从存储模块\n702读取的关联关系，确定与当前管理对象相关联的另一类管理对象；至少提供一个对所述另一类管理对象进行管理操作的依据或途径。\n[0168] 存储模块702保存来自于管理模块701的关联关系。\n[0169] 图8为本发明实施例中网络管理系统的结构示意图。如图8所示，该系统包括管理模块810、存储模块820、显示模块830和业务模块840。\n[0170] 其中，存储模块820保存来自于管理模块810的关联关系，保存来自于业务模块的用户与所开通业务的对应关系。还存储有被管理用户的用户信息和业务信息，以及被管理网络设备的网络设备信息。\n[0171] 显示模块830将接收自管理模块810的信息进行显示。该信息包括对用户进行管理操作的依据或途径，和/或对网络设备进行管理操作的依据或途径。\n[0172] 业务模块840，在为用户开通业务时，建立用户与所开通业务的对应关系，将该对应关系和用户的业务信息发送给存储模块820，将用于开通业务的业务部署信息发送给管理模块810。业务模块840中可以包括多个业务。\n[0173] 管理模块810具体包括控制子模块811。该控制子模块811在用户所在终端通过接入网络设备接入网络时，将用户与用户终端MAC地址的对应关系发送给存储模块820，将该用户终端的MAC地址学习到接入网络设备和与该用户终端通信的中间网络设备上。在确定当前管理对象为用户时，以作为当前管理对象的用户为索引，依照从存储模块820获取的关联关系，确定与作为当前管理对象的用户相关联的接入网络设备，至少提供一个对该接入网络设备进行管理操作的依据或途径；在确定当前管理对象为网络设备时，以作为当前管理对象的网络设备为索引，依照关联关系，确定与该网络设备通信的用户，至少提供一个对所述用户进行管理操作的依据或途径。最后，将提供的对网络设备或用户进行管理操作的依据或途径发送给显示模块830。当控制子模块811接收到来自业务模块840的业务部署信息后，将其下发到相应的接入网络设备。\n[0174] 为了实现告警管理，本实施例中的管理模块810还包括告警子模块812。该子模块检测告警事件，在确定出现告警事件后，将该告警事件发送给控制子模块811。\n[0175] 在这种情况下，控制子模块811进一步用于接收来自告警子模块812的告警事件，将接收的告警事件对应的网络设备确定为当前管理对象，并根据所述告警事件，获取与所述网络设备通信的用户的用户信息，作为对该用户进行管理操作的依据之一。具体地，当告警原因为安全事件时，根据安全事件信息，获取受到该安全事件影响的网络设备，从存储模块820中获取其保存的网络设备与用户关联关系，将获取的网络设备作为当前管理对象，依照获取的关联关系，查找与当前管理对象相关联的用户，并从存储模块820中获取与当前管理对象相关联的用户的用户信息；确定引起安全事件的用户，并从存储模块820获取该用户的用户信息；将受到安全事件影响的网络设备信息及其对应的用户信息，以及引起安全事件的用户信息发送给显示模块830。\n[0176] 此时，显示模块830根据接收到的受到安全事件影响的网络设备信息、和/或与受到安全事件影响的网络设备对应的用户的用户信息、和/或引起安全事件的用户的用户信息显示于告警界面和拓扑界面中。\n[0177] 为了实现性能管理和与性能相关的告警，本实施例的管理模块810还可以包括性能检测子模块813，该子模块根据预先设置的网络设备性能管理规则，对流经网络设备的数据流量和网络设备的运行状况进行监测和统计，获得各种网络设备的网络设备性能数据；\n和/或，根据预先设置的用户业务性能管理规则，采用用户+业务的过滤规则，对流经网络设备的承载有指定用户、指定业务的流量进行监测和统计，以获取用户业务性能数据。并把获得的网络设备性能数据和/或用户业务性能数据发送给告警子模块812。性能检测子模块813还可以将网络设备性能数据和用户业务性能数据发送给控制子模块811，供其进行分析预测，还可以发送给显示模块830，令其显示。\n[0178] 在这种情况下，告警子模块812进一步用于接收来自性能检测子模块813的网络设备性能数据和/或用户业务性能数据，根据接收的性能数据确定告警事件的出现。例如，当性能数据超过预先设置的阈值时，判定发生告警事件，并确定告警原因为发生了性能事件的告警，然后将性能事件作为告警原因发送给控制子模块811。\n[0179] 控制子模块811进一步用于，在告警原因为发生了性能事件时，从存储模块820获取网络设备与用户的关联关系，根据该关联关系，确定受到该性能事件影响的用户信息和网络设备信息，然后发送给显示模块830。还可以进一步从存储模块820获取用户和业务的对应关系，根据该对应关系，确定受到该性能事件影响的业务信息，然后发送给显示模块\n830。发送给显示模块830的确定受到该性能事件影响的用户信息、网络设备信息和业务信息都可以作为对受到该性能事件影响用户和/或网络设备进行管理的依据。\n[0180] 此时，显示模块830将受到该性能事件影响的用户信息、网络设备信息以及业务信息，显示于告警界面和拓扑界面中。\n[0181] 在实际应用中，本实施例的管理模块810还可以包括管理员认证子模块814，该子模块保存合法管理员的认证信息，在接收到包含认证信息的登录请求后，根据保存的认证信息和登录请求中的认证信息进行认证，当认证通过后，允许管理员登录，通知控制子模块\n811认证通过，允许该管理员登录并允许其同时管理用户及网络设备。此后，管理员可以通过网络管理系统中的各个界面进行操作，实现对网络用户和网络设备的融合管理。\n[0182] 在实际应用中，本实施例的管理模块810还可以包括审计子模块816，该子模块接收来自于控制子模块811的管理操作记录，并将接收到的管理操作记录保存于自身的一个统一审计日志中。还可以将审计日志通过控制子模块811发送给显示模块830进行显示。\n[0183] 在这种情况下，控制子模块811进一步根据对用户和/或网络设备所执行的管理操作用于生成管理操作记录，并将该管理操作记录发送给审计子模块816。\n[0184] 在实际中，控制子模块811在对告警事件进行告警管理时，进一步以获取的网络设备信息、用户信息和业务信息为依据进行分析，根据预先设置的融合管理策略，得到针对告警原因的处理操作，并自动执行；或者，将得到的针对告警原因的处理操作信息作为对当前管理对象进行管理操作的途径信息发送给显示模块830，由显示模块830显示出处理操作的执行入口，即理操作的途径，当管理员确认后，控制子模块811接收到显示模块830返回的确认信息，并执行针对告警的处理操作。\n[0185] 管理模块810与业务模块840进行信息交互时，需要采用为业务模块840设计的业务接口，当业务模块840中配置了多项业务时，一个业务接口对应一项业务。为了给业务模块840和管理模块810提供统一的业务接口，本实施例的网络管理系统进一步包括业务动态扩展模块850，该模块为业务模块840中的所有业务提供统一的接口，支持业务模块\n840中业务的扩展。业务模块840中扩展的业务可以通过业务动态扩展模块850与管理模块810进行信息交互。\n[0186] 可见，本实施例采用了业务动态扩展模块850，避免了针对不同业务设置不同业务接口的问题，提高了本发明网络管理系统的业务扩展能力。\n[0187] 通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台广义的计算机设备(如个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。\n[0188] 综上所述，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。\n凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。