业务系统网络拓扑关系获取方法及装置的制造方法

文档序号:10491966阅读:354来源:国知局
业务系统网络拓扑关系获取方法及装置的制造方法
【专利摘要】本申请实施例公开了一种业务系统网络拓扑关系获取方法及装置。通过采集设备的网络结构信息,包括设备的地址解析协议信息表、介质访问控制地址表、路由信息表和接口信息表,解析所述网络结构信息,自动得到设备的互联关系、层次关系和分区关系,相较人工分析获取业务系统网络拓扑关系的方式,具有更高的效率和准确性。
【专利说明】
业务系统网络拓扑关系获取方法及装置
技术领域
[0001]本发明涉及信息安全技术领域,尤其涉及一种业务系统网络拓扑关系获取方法及
目.0
【背景技术】
[0002]互联网技术的快速发展,使得企业业务系统的计算机网络变得越来越复杂,为便于观察和维护网络及设备,需要获取业务系统的网络拓扑关系,即业务系统中设备之间的连接以及从属关系。业务系统中的设备主要包括防火墙、路由交换器、负载均衡器以及主机,设备之间的连接以及从属关系,则具体包括设备之间的互联关系、层次关系和分区关系O
[0003]其中,互联关系包括二层直连关系和三层直连关系,二层直连关系为设备之间的物理地址连接关系,三层直连关系为设备之间的IP地址连接关系;层次关系为设备之间的主从关系,从设备为主用设备的下一级设备;根据国家发布的《中国移动安全域管理办法》、《中国移动管理信息系统安全域划分技术要求》、《中国移动数据业务系统集中化安全防护技术要求》、《中国移动网管系统安全域划分技术要求》和《中国移动支撑系统安全域划分与边界整合技术要求》中对业务系统分区的划分标准和规范,业务系统划分为4个分区,即互联网接口区、内部互联接口区、核心交换区和核心生产区。其中,互联网接口区主要放置直接访问互联网的设备,例如业务系统门户(Portal),该区域的设备主要实现互联网与核心生产区的数据转接;内部互联接口区主要放置和企业内部网络如IP专网和业务支撑系统连接的设备,例如网管采集设备;核心生产区放置仅和业务系统其它分区直接互联,不与任何外部网络直接互联,且在业务系统中处理事务最多和连接最多的设备;核心交换区主要放置负责连接核心生产区、内部互联接口区和外部互联接口区的设备。
[0004]目前业务系统的网络拓扑关系主要使用人工方式获取,即人工采集设备的网络结构信息例如设备的连接信息和配置信息后,逐一分析每个设备的连接和从属关系,然后将分析结果汇总,当设备数量和设备类型众多时,这种方式的工作量将十分巨大,效率很低,为节省工作量,通常只简单分析设备之间的互联关系和层次关系,不能详尽地对设备之间的网络拓扑关系进行描述。另外,在获取业务系统的网络拓扑关系后,通常会根据网络拓扑关系绘制网络拓扑图,以直观地展现设备之间的连接与从属关系,传统根据网络拓扑关系绘制的网络拓扑图,通常是以某个设备为中心,按平铺方式形成圆形、方形或扇形拓扑图来展现各个设备的连接情况,只能展现设备之间的互联关系,无法清晰地展现设备之间的层次关系,也不能进行分区显示。

【发明内容】

[0005]为克服相关技术中业务系统网络拓扑关系获取效率低的问题,本申请提供一种业务系统网络拓扑关系获取方法及装置。
[0006]根据本申请实施例的第一方面,提供一种业务系统网络拓扑关系获取方法,包括:
[0007]采集设备的网络结构信息,所述网络结构信息包括设备的地址解析协议信息表、介质访问控制地址表、路由信息表、接口信息表;
[0008]解析所述网络结构信息得到设备的互联关系、层次关系、分区关系,包括:
[0009]解析所述地址解析协议信息表、介质访问控制地址表和接口信息表,得到设备的互耳关关系;
[0010]解析所述路由信息表,得到解析结果,根据所述解析结果得到设备的层次关系;
[0011]根据所述路由信息表的解析结果、所述互联关系和所述层次关系,划分设备的分区关系,
[0012]其中,所述互联关系包括二层直连关系和三层直连关系。
[0013]其中,解析所述地址解析协议信息表、介质访问控制地址表和接口信息表,得到设备的互联关系,包括:
[0014]解析所述接口信息表得到设备的每个接口的信息;
[0015]标准化所述地址解析协议信息表和所述介质访问控制地址表;
[0016]对设备的每个接口,根据标准化后的介质访问控制地址表查询接口对应的介质访问控制地址是否以其他单个设备的介质访问控制地址为子集,如果所述接口对应的介质访问控制地址以其他单个设备的介质访问控制地址为子集,则所述设备与所述其他单个设备存在二层直连关系;
[0017]对设备的每个接口,根据标准化后的地址解析协议信息表查询接口对应的IP地址是否为其他设备的IP地址,如果所述接口对应的IP地址为其他设备的IP地址,则所述设备与所述其他设备存在三层直连关系。
[0018]其中,解析所述路由信息表,得到解析结果,根据所述解析结果得到设备的层次关系,包括:解析所述路由信息表,得到所述路由信息表中下一跳的IP地址,以所述下一跳的IP地址对应的设备为所述路由信息表对应的设备的下一级设备,得到设备的层次关系。
[0019]其中,根据所述路由信息表的解析结果、所述互联关系和所述层次关系,划分设备的分区关系,包括:
[0020]根据所述路由信息表的解析结果、所述互联关系和所述层次关系,判断设备是否属于外部互联接口区或者内部互联接口区,包括:
[0021]解析所述路由信息表,得到所述路由信息表中下一跳的IP地址;
[0022]判断所述下一跳的IP地址是否为互联网地址;
[0023]如果所述下一跳的IP地址为互联网地址,根据所述层次关系查找所述设备的下级设备中是否存在防火墙,如果所述设备的下级设备中存在防火墙,则将连接所述设备与所述防火墙的网路上的所有设备,以及所述防火墙连接的主机,划分于外部互联接口区;
[0024]如果所述下一跳的IP地址不为互联网地址,则判断所述下一跳的IP地址是否为办公自动化系统或者业务支撑系统的IP地址,当所述下一跳的IP地址为办公自动化系统或者业务支撑系统的IP地址时,根据所述层次关系查找所述设备的下级设备中是否存在防火墙,如果所述设备的下级设备中存在防火墙,则将连接所述设备与所述防火墙的网路上的所有设备,以及所述防火墙连接的主机,划分于内部互联接口区,
[0025]根据所述路由信息表的解析结果、所述互联关系和所述层次关系,判断设备是否属于核心交换区,包括:
[0026]根据业务系统中所有设备的路由信息表,查找所有路由信息表中重复最多的下一跳IP地址,将所述重复最多的下一跳IP地址对应的设备及其主用设备或者备用设备划分于核心交换区,
[0027]根据所述路由信息表的解析结果、所述互联关系和所述层次关系,判断设备是否属于核心生产区,包括:
[0028]对不属于外部互联接口区、不属于内部互联接口区以及不属于核心交换区的设备,判断其是否与外部互联接口区、内部互联接口区或者核心交换区的设备存在互联关系,如果其与外部互联接口区、内部互联接口区或者核心交换区的设备存在互联关系,且其为路由交换器或者主机,则将其划分于核心生产区。
[0029]其中,所述采集设备的网络结构信息,包括:
[0030]分布式建立到被各个设备的网络连接;
[0031]根据设备的类型查询设备的版本号;
[0032]根据所述设备的版本号选择对应的采集脚本;
[0033]执行所述采集脚本,采集设备的网络结构信息。
[0034]相应于本申请实施例的第一方面,根据本申请实施例的第三方面,提供一种业务系统网络拓扑关系获取装置,包括:
[0035]网络结构信息采集单元,用于采集设备的网络结构信息,所述网络结构信息包括设备的地址解析协议信息表、介质访问控制地址表、路由信息表、接口信息表和配置信息;
[0036]网络拓扑关系解析单元,用于解析所述网络结构信息得到设备的互联关系、层次关系和分区关系,所述网络拓扑关系解析单元包括:
[0037]互联关系解析子单元,用于解析所述地址解析协议信息表、介质访问控制地址表和接口信息表,得到设备的互联关系;
[0038]层次关系解析子单元,用于解析所述路由信息表,得到解析结果,根据所述解析结果得到设备的层次关系;
[0039]分区关系解析子单元,用于根据所述路由信息表的解析结果、所述互联关系和所述层次关系,划分设备的分区关系,
[0040]其中,所述互联关系包括二层直连关系和三层直连关系。
[0041]其中,所述互联关系解析子单元,包括:
[0042]接口解析模块,用于解析所述接口信息表得到设备的每个接口的信息;
[0043]标准化模块,用于标准化所述地址解析协议信息表和所述介质访问控制地址表;
[0044]二层直连关系获取模块,用于对设备的每个接口,根据标准化后的介质访问控制地址表查询接口对应的介质访问控制地址是否以其他单个设备的介质访问控制地址为子集,如果所述接口对应的介质访问控制地址以其他单个设备的介质访问控制地址为子集,则所述设备与所述其他单个设备存在二层直连关系;
[0045]三层直连关系获取模块,用于对设备的每个接口,根据标准化后的地址解析协议信息表查询接口对应的IP地址是否为其他设备的IP地址,如果所述接口对应的IP地址为其他设备的IP地址,则所述设备与所述其他设备存在三层直连关系。
[0046]其中,所述层次关系解析子单元用于解析所述路由信息表,得到所述路由信息表中下一跳的IP地址,以所述下一跳的IP地址对应的设备为所述路由信息表对应的设备的下一级设备,得到设备的层次关系。
[0047]其中,所述分区关系解析子单元,包括:
[0048]第一处理模块,用于根据所述路由信息表的解析结果、所述互联关系和所述层次关系,判断设备是否属于外部互联接口区或者内部互联接口区,所述第一处理模块,包括:
[0049]路由信息解析子模块,用于解析所述路由信息表,得到所述路由信息表中下一跳的IP地址;
[0050]第一判断子模块,用于判断所述下一跳的IP地址是否为互联网地址;
[0051]第一分区子模块,用于如果所述下一跳的IP地址为互联网地址,根据所述层次关系查找所述设备的下级设备中是否存在防火墙,如果所述设备的下级设备中存在防火墙,则将连接所述设备与所述防火墙的网路上的所有设备,以及所述防火墙连接的主机,划分于外部互联接口区;
[0052]第二判断子模块,用于如果所述下一跳的IP地址不为互联网地址,则判断所述下一跳的IP地址是否为办公自动化系统或者业务支撑系统的IP地址;
[0053]第二分区子模块,用于当所述下一跳的IP地址为办公自动化系统或者业务支撑系统的IP地址时,根据所述层次关系查找所述设备的下级设备中是否存在防火墙,如果所述设备的下级设备中存在防火墙,则将连接所述设备与所述防火墙的网路上的所有设备,以及所述防火墙连接的主机,划分于内部互联接口区;
[0054]第三分区模块,用于根据业务系统中所有设备的路由信息表,查找所有路由信息表中重复最多的下一跳IP地址,将所述重复最多的下一跳IP地址对应的设备及其主用设备或者备用设备划分于核心交换区;
[0055]第四分区模块,用于对不属于外部互联接口区、不属于内部互联接口区以及不属于核心交换区的设备,判断其是否与外部互联接口区、内部互联接口区或者核心交换区的设备存在互联关系,如果其与外部互联接口区、内部互联接口区或者核心交换区的设备存在互联关系,且其为路由交换器或者主机,则将其划分于核心生产区。
[0056]其中,所述网络结构信息采集单元,包括:
[0057]网络连接子单元,用于分布式并发建立到被各个设备的网络连接;
[0058]版本查询子单元,用于根据设备的类型查询设备的版本号;
[0059]采集脚本选择子单元,用于根据所述设备的版本号选择对应的采集脚本;
[0060]执行子单元,用于执行所述采集脚本,采集到设备的网络结构信息。
[0061]本申请实施例提供的技术方案可以包括以下有益效果:通过采集设备的网络结构信息,包括设备的地址解析协议信息表、介质访问控制地址表、路由信息表和接口信息表,解析所述网络结构信息,自动得到设备的互联关系、层次关系和分区关系,相较人工分析获取业务系统网络拓扑关系的方式,具有更高的效率和准确性。
[0062]应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
【附图说明】
[0063]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0064]图1为本申请一示例性实施例示出的一种业务系统网络拓扑关系获取方法的流程不意图。
[0065]图2为本申请一示例性实施例示出的一种业务系统网络拓扑关系获取装置的框图。
[0066]图3为本申请一示例性实施例示出的一种业务系统网络拓扑图绘制方法的流程示意图。
[0067]图4为本申请一示例性实施例示出的一种业务系统网络拓扑图绘制装置的框图。
【具体实施方式】
[0068]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0069]为了全面理解本申请,在以下详细描述中提到了众多具体的细节,但是本领域技术人员应该理解,本申请可以无需这些具体细节而实现。在其他实施例中,不详细描述公知的方法、过程、组件和电路,以免不必要地导致实施例模糊。
[0070]根据本申请实施例的第一方面,提供一种业务系统网络拓扑关系获取方法。图1为本申请一示例性实施例示出的一种业务系统网络拓扑关系获取方法的流程示意图,如图1所示,所述方法包括:
[0071]步骤S101,采集设备的网络结构信息,所述网络结构信息包括设备的地址解析协议信息表、介质访问控制地址表、路由信息表和接口信息表。
[0072]其中,由于设备类型不同,网络连接的协议也可能不同,因此先根据各个设备的类型建立到各个设备的网络连接,通过网络连接逐个采集各个设备的网络结构信息,也可以先根据各个设备的类型分布式并发建立到各个设备的网络连接,且并发式地同时通过网络连接采集各个设备的网络结构信息,后一种方式具有更高的效率。具体地,与各个设备的网络连接建立后,可以使用统一的采集脚本采集各个设备的网络结构信息,但由于业务系统中常常有多种设备,为了适应不同的设备,统一的采集脚本将会很庞大,以用于包括针对各种设备进行采集的语句。业务系统中,设备分为不同类型,同类型的设备常常又分多个版本,不同类型的设备的采集脚本可能不同,同类型不同版本的设备的采集脚本也可能不同,针对不同版本和不同类型的设备使用不同的采集脚本可以更准确地采集设备的网络结构信息,因此对于每个设备,采集设备的配置信息,根据设备的类型查询到设备的版本号,然后根据设备的版本号选择对应的采集脚本,所述采集脚本预先存储以备查询选择,选择与设备版本号对应的采集脚本后,针对该设备执行采集脚本,采集到设备的网络结构信息。所述网络结构信息包括设备的地址解析协议(Address Resolut1n Protocol,ARP)信息表、介质访问控制地址(Media Access Control, MAC)表、路由信息表、接口信息表。
[0073]其中,采集脚本在采集所述地址解析协议信息表时,判断所述地址解析协议信息表是否过期。由于过期的地址解析协议信息表会被清除,因此当判断到当前没有地址解析协议信息表时,则说明地址解析协议信息表已过期。如果所述地址解析协议信息表过期,则采集脚本根据设备的IP (Internet Protocol,网络互连协议)地址和子网掩码生成激活命令,所述激活命令为PING (Packet Internet Groper,因特网包探索器)命令,PING命令在该设备上连通所有可能连通的IP,并获取该设备所有可达的设备的IP和MAC信息,生成地址解析协议信息表。采集脚本生成激活命令后,执行所述激活命令,得到新的地址解析协议信息表。其中,设备的IP地址和子网掩码由采集脚本根据设备的配置信息得到。如果所述地址解析协议信息表没有过期,则直接使用采集到的地址解析协议信息表。
[0074]步骤S102,解析所述网络结构信息得到设备的互联关系、层次关系和分区关系,包括:
[0075]步骤S1021,解析所述地址解析协议信息表、介质访问控制地址表和接口信息表,得到设备的互联关系;
[0076]步骤S1022,解析所述路由信息表,得到解析结果,根据所述解析结果得到设备的层次关系;
[0077]步骤S1023,根据所述路由信息表的解析结果、所述互联关系和所述层次关系,划分设备的分区关系。
[0078]其中,步骤S1021解析所述地址解析协议信息表、介质访问控制地址表和接口信息表,得到设备的互联关系,包括:
[0079](al)解析所述接口信息表得到设备的每个接口的信息。
[0080]其中,采集到的接口信息表包含了设备的所有接口的信息,因此解析所述接口信息表,分离出设备的每个接口的信息。使用常规的正则表达式解析法即能够将设备的每个接口的信息分离出来,也就是根据接口信息表中描述单个设备接口信息的格式,构造正则表达式,来查询和匹配接口信息表,接口信息表中与正则表达式匹配的部分便是单个的接口信息描述,从而将设备每个接口信息的描述从接口信息表中分离出来,也就是得到设备的每个接口的信息。不同类型的设备,在解析接口信息表时使用的正则表达式可能不同,但由于业务系统中各个设备的类型和接口信息表的格式已知,因此预先根据各个设备定义好正则表达式,在采集到设备的接口信息表后,使用预先定义的正则表达式进行解析。
[0081 ] (a2)标准化所述地址解析协议信息表和所述介质访问控制地址表。
[0082]其中,由于不同类型的设备,其地址解析协议信息表(ARP表)的描述格式和介质访问控制地址表(MAC表)的描述格式可能不同,为便于后续处理,分别对采集到设备的ARP表和MAC表进行标准化,使不同类型的设备的ARP表具有相同的格式,不同类型的设备的MAC表具有相同的格式。对ARP表和MAC表的标准化使用常规的标准化方法。
[0083](a3)对设备的每个接口,根据标准化后的介质访问控制地址表查询接口对应的介质访问控制地址是否以其他单个设备的介质访问控制地址为子集,如果所述接口对应的介质访问控制地址以其他单个设备的介质访问控制地址为子集,则所述设备与所述其他单个设备存在二层直连关系。
[0084]其中,二层直连关系指设备之间的物理地址直连关系。对设备的每个接口,在标准化后的MAC表中查询接口对应的MAC地址,亦即接口连接的MAC地址,得到接口连接的所有MAC地址后,将接口连接的所有MAC地址与预先存储的所有设备的MAC地址进行比对,如果该接口连接的所有MAC地址中包含了另一个设备的所有MAC地址,亦即某一个设备的所有MAC地址是该接口连接的MAC地址集合的子集,则说明该接口和上述另一个设备直接连接,亦即该接口所在的设备与上述另一个设备存在二层直连关系。需要说明的是,只要设备A的所有MAC地址是设备B的某个接口连接的所有MAC地址的子集,则设备A和设备B存在二层直连关系,即使对设备A的每个接口而言,设备B的所有MAC地址并不是设备A的接口连接的所有MAC地址的子集。
[0085](a4)对设备的每个接口,根据标准化后的地址解析协议信息表查询接口对应的IP地址是否为其他设备的IP地址,如果所述接口对应的IP地址为其他设备的IP地址,则所述设备与所述其他设备存在三层直连关系。
[0086]其中,三层直连关系指设备之间的IP地址直连关系。对设备的每个接口,在标准化后的ARP表中查询接口对应的IP地址,亦即接口连接的IP地址,得到接口连接的IP地址后,将接口连接的IP地址与预先存储的所有设备的IP地址进行比对,如果该接口连接的IP地址为另一个设备的IP地址,则说明该接口和上述另一个设备直接连接,亦即该接口所在的设备与上述另一个设备存在三层直连关系。
[0087]需要说明的是,在执行步骤S1021时,会得到一些和其他设备没有任何连接的设备,也就是孤立的设备,这些设备通常标记为未知设备,可以将所有未知设备当作一个分区,名为未知分区。
[0088]其中,步骤S1022解析所述路由信息表,得到解析结果,根据解析结果得到设备的层次关系。解析所述路由信息表,得到解析结果,即所述路由信息表中下一跳的IP地址;具体的可以使用正则表达式解析方法从路由信息表中解析出下一跳的IP地址,下一跳的IP地址对应的即该设备的下一级设备。由此可以得到各个设备的下一级设备,并且每个设备的下一级设备依次下推,能够得到设备之间的多级层次关系。
[0089]其中,步骤S1023根据所述路由信息表的解析结果、所述互联关系和所述层次关系,划分设备的分区关系,包括:
[0090](I)根据所述路由信息表的解析结果、所述互联关系和所述层次关系,划分外部互联接口区或者内部互联接口区,包括:
[0091](bl)解析所述路由信息表,得到所述路由信息表中下一跳的IP地址;
[0092](b2)判断所述下一跳的IP地址是否为互联网地址;
[0093](b3)如果所述下一跳的IP地址为互联网地址,根据所述层次关系查找所述设备的下级设备中是否存在防火墙,如果所述设备的下级设备中存在防火墙,则将连接所述设备与所述防火墙的网路上的所有设备,以及所述防火墙连接的主机,划分于外部互联接口区。
[0094]其中,如果设备的路由信息表的下一跳的IP地址为互联网地址,则该设备属于外部互联接口区。同时根据该设备,找到与该设备相关的也应该划分于外部互联接口区的设备,即根据得到的设备之间的层次关系,从该设备出发,逐级查找该设备的下级设备,如果该设备的下级设备中存在防火墙,则连接该设备和该防火墙的网路上的所有设备,从该设备到该防火墙之间的网络支路上的所有设备,以及该防火墙连接的主机,都属于外部互联接口区。由此可以得到外部互联接口区的所有设备。
[0095](b4)如果所述下一跳的IP地址不为互联网地址,则判断所述下一跳的IP地址是否为OA (Office Automat1n,办公自动化)系统或者业务支撑系统的IP地址;
[0096](b5)当所述下一跳的IP地址为OA系统或者业务支撑系统的IP地址时,根据所述层次关系找所述设备的下级设备中是否存在防火墙,如果所述设备的下级设备中存在防火墙,则将连接所述设备与所述防火墙的网路上的所有设备,以及所述防火墙连接的主机,划分于内部互联接口区。
[0097]其中,如果设备的路由信息表的下一跳的IP地址为OA系统的IP地址或者业务支撑系统的IP地址,则该设备属于内部互联接口区。同时根据该设备,找到与该设备相关的也应该划分于内部互联接口区的设备,即根据得到的设备之间的层次关系,从该设备出发,逐级查找该设备的下级设备,如果该设备的下级设备中存在防火墙,则连接该设备和该防火墙的网路上的所有设备,从该设备到该防火墙之间的网络支路上的所有设备,以及该防火墙连接的主机,都属于内部互联接口区。由此可以得到内部互联接口区的所有设备。
[0098](2)根据所述路由信息表的解析结果、所述互联关系和所述层次关系,判断设备是否属于核心交换区,包括:
[0099]根据业务系统中所有设备的路由信息表,查找所有路由信息表中重复最多的下一跳IP地址,将所述重复最多的下一跳IP地址对应的设备及其主用设备或者备用设备划分于核心交换区。
[0100]其中,解析所有设备的路由信息表,得到所有路由信息表中的下一跳IP地址,统计其中重复次数最多的IP地址,则该IP地址对应的设备属于核心交换区,同时,如果该设备为主用设备,则其备用设备也属于核心交换区,如果该设备为备用设备,则其主用设备也属于核心交换区。
[0101](3)根据所述接口信息表的解析结果、所述互联关系和所述层次关系,判断设备是否属于核心生产区,包括:
[0102]对不属于外部互联接口区、不属于内部互联接口区以及不属于核心交换区的设备,判断其是否与外部互联接口区、内部互联接口区或者核心交换区的设备存在互联关系,如果其与外部互联接口区、内部互联接口区或者核心交换区的设备存在互联关系,且其为路由交换器或者主机,则将其划分于核心生产区。
[0103]其中,对于既不属于外部互联接口区,也不属于内部互联接口区,并且也不不属于核心交换区的设备,根据其接口信息表,得到与其具有互联关系的设备,判断与其具有互联关系的设备是否属于外部互联接口区、内部互联接口区或者核心交换区,如果属于外部互联接口区、内部互联接口区或者核心交换区,且该设备为路由交换器或者主机,则该设备属于核心生产区。
[0104]在另外较简化的实施方式中,对于既不属于外部互联接口区,也不属于内部互联接口区,并且也不不属于核心交换区的设备,判断其是否属于未知分区,也就是其是否为孤立设备,如果不是,则该设备属于核心生产区。
[0105]将解析得到的设备的互联关系、层次关系和分区关系生成表格,例如对每个设备列出与其互联的其他设备、其所有下级设备、其所属的分区等。所生成的表格可以用于分析业务系统的网络拓扑关系,以及绘制业务系统的网络拓扑图。
[0106]需要说明的时,使用正则表达式解析网络结构信息时,每种网络结构信息的正则表达式不同。对采集到的每种网络结构信息也可以使用其他常用的程序解析方法进行解析。
[0107]需要说明的是,在获取业务系统的网络拓扑关系前,预先将业务系统涉及的互联网地址、OA系统的所有IP地址、业务支撑系统的所有IP地址、所有设备的IP地址和MAC地址存储,以备在获取业务系统的网络拓扑关系时进行搜索查询以及比对。
[0108]需要说明的是,本申请所提供的业务系统网络拓扑关系获取方法在于得到业务系统中设备的网络拓扑关系,并不在于得到业务系统中设备之间的其他物理连接关系。
[0109]通过以上的方法实施例的描述,所属领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,并存储在一个存储介质中,包括若干指令用以使得一台智能设备执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:只读存储器(R0M)、随机存取存储器(RAM)、磁碟或者光盘等各种可以存储数据和程序代码的介质。
[0110]相应于本申请实施例的第一方面,根据本申请实施例的第二方面,提供一种业务系统网络拓扑关系获取装置。图2为本申请一示例性实施例示出的一种业务系统网络拓扑关系获取装置的框图。如图2所示,所述业务系统网络拓扑关系获取装置包括:
[0111]网络结构信息采集单元U201,用于采集设备的网络结构信息,所述网络结构信息包括设备的地址解析协议信息表、介质访问控制地址表、路由信息表、接口信息表和配置信息;
[0112]网络拓扑关系解析单元U202,用于解析所述网络结构信息得到设备的互联关系、层次关系和分区关系,所述网络拓扑关系解析单元包括:
[0113]互联关系解析子单元U2021,用于解析所述地址解析协议信息表、介质访问控制地址表和接口信息表,得到设备的互联关系;
[0114]层次关系解析子单元U2022,用于解析所述路由信息表,得到解析结果,根据所述解析结果得到设备的层次关系;
[0115]分区关系解析子单元U2023,用于根据所述路由信息表的解析结果、所述互联关系和所述层次关系,划分设备的分区关系,
[0116]其中,所述互联关系包括二层直连关系和三层直连关系。
[0117]其中,所述互联关系解析子单元U2021,可以包括:
[0118]接口解析模块,用于解析所述接口信息表得到设备的每个接口 ;
[0119]标准化模块,用于标准化所述地址解析协议信息表和所述介质访问控制地址表;
[0120]二层直连关系获取模块,用于对设备的每个接口,根据标准化后的介质访问控制地址表查询接口对应的介质访问控制地址是否以其他单个设备的介质访问控制地址为子集,如果所述接口对应的介质访问控制地址以其他单个设备的介质访问控制地址为子集,则所述设备与所述其他单个设备存在二层直连关系;
[0121]三层直连关系获取模块,用于对设备的每个接口,根据标准化后的地址解析协议信息表查询接口对应的IP地址是否为其他设备的IP地址,如果所述接口对应的IP地址为其他设备的IP地址,则所述设备与所述其他设备存在三层直连关系。
[0122]其中,所述层次关系解析子单元U2022用于解析所述路由信息表,得到所述路由信息表中下一跳的IP地址,以所述下一跳的IP地址对应的设备为所述路由信息表对应的设备的下一级设备。
[0123]其中,所述分区关系解析子单元U2023,可以包括:
[0124]第一处理模块,用于根据所述路由信息表的解析结果、所述互联关系和所述层次关系,判断设备是否属于外部互联接口区或者内部互联接口区;
[0125]第三分区模块,用于根据业务系统中所有设备的路由信息表,查找所有路由信息表中重复最多的下一跳IP地址,将所述重复最多的下一跳IP地址对应的设备及其主用设备或者备用设备划分于核心交换区;
[0126]第四分区模块,用于对不属于外部互联接口区、不属于内部互联接口区以及不属于核心交换区的设备,判断其是否与外部互联接口区、内部互联接口区或者核心交换区的设备存在互联关系,如果其与外部互联接口区、内部互联接口区或者核心交换区的设备存在互联关系,且其为路由交换器或者主机,则将其划分于核心生产区。
[0127]其中,所述分区关系解析子单元U2023中,所述第一处理模块,包括:
[0128]路由信息解析子模块,用于解析所述路由信息表,得到所述路由信息表中下一跳的IP地址;
[0129]第一判断子模块,用于判断所述下一跳的IP地址是否为互联网地址;
[0130]第一分区子模块,用于如果所述下一跳的IP地址为互联网地址,根据所述层次关系查找所述设备的下级设备中是否存在防火墙,如果所述设备的下级设备中存在防火墙,则将连接所述设备与所述防火墙的网路上的所有设备,以及所述防火墙连接的主机,划分于外部互联接口区。
[0131]第二判断子模块,用于如果所述下一跳的IP地址不为互联网地址,则判断所述下一跳的IP地址是否为OA系统或者业务支撑系统的IP地址;
[0132]第二分区子模块,用于当所述下一跳的IP地址为OA系统或者业务支撑系统的IP地址时,根据所述层次关系查找所述设备的下级设备中是否存在防火墙,如果所述设备的下级设备中存在防火墙,则将连接所述设备与所述防火墙的网路上的所有设备,以及所述防火墙连接的主机,划分于内部互联接口区。
[0133]其中,所述网络结构信息采集单元U201,可以包括:
[0134]网络连接子单元,用于分布式并发建立到被各个设备的网络连接;
[0135]版本查询子单元,用于根据设备的类型查询设备的版本号;
[0136]采集脚本选择子单元,用于根据所述设备的版本号选择对应的采集脚本;
[0137]执行子单元,用于执行所述采集脚本,采集到设备的网络结构信息。
[0138]其中,所述网络结构信息采集单元采集所述地址解析协议信息表时,如果所述地址解析协议信息表过期,则根据设备的IP地址和子网掩码生成激活命令,执行所述激活命令得到新的地址解析信息表,其中设备的IP地址和子网掩码根据设备的配置信息得到。
[0139]根据本申请实施例的第三方面,提供一种使用所述业务系统网络拓扑关系获取方法的业务系统网络拓扑图绘制方法。图3为本申请一示例性实施例示出的一种业务系统网络拓扑图绘制方法的流程示意图,如图3所示,所述方法包括:
[0140]步骤S301,使用所述业务系统网络拓扑关系获取方法得到设备的互联关系、层次关系和分区关系;
[0141]步骤S302,使用图形绘制控件根据所述设备的互联关系、层次关系和分区关系生成业务系统网络拓扑图。
[0142]其中,使用所述业务系统网络拓扑关系获取方法得到的设备的互联关系、层次关系和分区关系可以表示为表格,然后使用图像绘制控件,例如YFILES,在定义好每个设备的图标后,根据所述表格生成对应的网络拓扑图,生成的网络拓扑图中,具有互联关系的设备之间以连线连接,以设备的图标的上下位置关系标识设备之间的层次关系,以分页或在同一页面中分区域显示来表示不同分区的设备。在另一种实施方式中,使用图形绘制控件预先定义好每个设备的图标,使用所述业务系统网络拓扑关系获取方法得到的每个设备与其他设备之间的互联关系、层次关系和分区关系,将每个设备与其他设备之间的互联关系、层次关系和分区关系作为每个设备的图标的属性,根据每个设备的图标的属性生成网络拓扑图。
[0143]其中,还可以将每个设备的网络结构信息作为网络拓扑图中每个设备的图标关联,可以通过每个设备的图标查询每个设备对应的网络结构信息,包括设备的配置信息、使技术人员通过网络拓扑图可以更详细的了解整个业务系统的设备和网络结构。
[0144]其中,在获取业务系统的网络拓扑关系时,由于业务系统中的设备发生变换或更新,使程序执行时出错,可能会导致网络拓扑图中某个设备虽然与其他设备有互联关系,但该设备本身的属性不明,使用图像绘制控件绘制的网络拓扑图时,由于设备属性不明,在该设备的图标上有时会添加问号等表示该设备为未知设备的标记。在绘制每个设备与其他设备之间不同的连接关系时,可以使用不同颜色的线条进行绘制,所述连接关系包括主从关系、双方皆为已知设备的互联关系,以及一方为未知设备的互联关系,例如以蓝色线表示所连接的两个设备之间为主从关系,具体地,位置在上的设备为主设备,位置在下的设备为从设备,以黄色线表示所连接的两个设备皆为已知设备,以红色线表示所连接的两个设备中有一方为未知设备。通过不同颜色的连接线,有利于技术人员更快速的分辨设备之间的层次和互联关系,以及快速分辨哪些设备可能为未知设备,方便技术人员对设备进行检查,对网络拓扑图进行修正。
[0145]通过以上的方法实施例的描述,所属领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,并存储在一个存储介质中,包括若干指令用以使得一台智能设备执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:只读存储器(R0M)、随机存取存储器(RAM)、磁碟或者光盘等各种可以存储数据和程序代码的介质。
[0146]相应于本申请实施例的第三方面,根据本申请实施例的第四方面,提供一种使用所述业务系统网络拓扑获取装置的业务系统网络拓扑图绘制装置。图4为本申请一示例性实施例示出的一种业务系统网络拓扑图绘制装置的框图。如图4所示,所述业务系统网络拓扑图绘制装置包括:
[0147]业务系统网络拓扑关系获取装置U401,用于获取业务系统网络拓扑关系,即获取业务系统设备的互联关系、层次关系和分区关系;
[0148]图形绘制控件U402,用于根据所述业务系统网络拓扑关系装置得到的设备的互联关系、层次关系和分区关系生成业务系统网络拓扑图。
[0149]其中,在优选的实施方式中,所述图像绘制控件对设备之间不同的连接关系使用不同颜色的线条进行绘制,所述连接关系包括主从关系、双方皆为已知设备的互联关系,以及一方为未知设备的互联关系。
[0150]为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
[0151]本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
[0152]需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者逆序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0153]以上所述仅是本申请的【具体实施方式】,使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
【主权项】
1.一种业务系统网络拓扑关系获取方法,其特征在于,包括: 采集设备的网络结构信息,所述网络结构信息包括设备的地址解析协议信息表、介质访问控制地址表、路由信息表、接口信息表; 解析所述网络结构信息得到设备的互联关系、层次关系、分区关系,包括: 解析所述地址解析协议信息表、介质访问控制地址表和接口信息表,得到设备的互联关系; 解析所述路由信息表,得到解析结果,根据所述解析结果得到设备的层次关系; 根据所述路由信息表的解析结果、所述互联关系和所述层次关系,划分设备的分区关系, 其中,所述互联关系包括二层直连关系和三层直连关系。2.如权利要求1所述的业务系统网络拓扑关系获取方法,其特征在于,解析所述地址解析协议信息表、介质访问控制地址表和接口信息表,得到设备的互联关系,包括: 解析所述接口信息表得到设备的每个接口的信息; 标准化所述地址解析协议信息表和所述介质访问控制地址表; 对设备的每个接口,根据标准化后的介质访问控制地址表查询接口对应的介质访问控制地址是否以其他单个设备的介质访问控制地址为子集,如果所述接口对应的介质访问控制地址以其他单个设备的介质访问控制地址为子集,则所述设备与所述其他单个设备存在二层直连关系; 对设备的每个接口,根据标准化后的地址解析协议信息表查询接口对应的IP地址是否为其他设备的IP地址,如果所述接口对应的IP地址为其他设备的IP地址,则所述设备与所述其他设备存在三层直连关系。3.如权利要求1所述的业务系统网络拓扑关系获取方法,其特征在于,解析所述路由信息表,得到解析结果,根据所述解析结果得到设备的层次关系,包括:解析所述路由信息表,得到所述路由信息表中下一跳的IP地址,以所述下一跳的IP地址对应的设备为所述路由信息表对应的设备的下一级设备,得到设备的层次关系。4.如权利要求1所述的业务系统网络拓扑关系获取方法,其特征在于,根据所述路由信息表的解析结果、所述互联关系和所述层次关系,划分设备的分区关系,包括: 根据所述路由信息表的解析结果、所述互联关系和所述层次关系,判断设备是否属于外部互联接口区或者内部互联接口区,包括: 解析所述路由信息表,得到所述路由信息表中下一跳的IP地址; 判断所述下一跳的IP地址是否为互联网地址; 如果所述下一跳的IP地址为互联网地址,根据所述层次关系查找所述设备的下级设备中是否存在防火墙,如果所述设备的下级设备中存在防火墙,则将连接所述设备与所述防火墙的网路上的所有设备,以及所述防火墙连接的主机,划分于外部互联接口区; 如果所述下一跳的IP地址不为互联网地址,则判断所述下一跳的IP地址是否为办公自动化系统或者业务支撑系统的IP地址,当所述下一跳的IP地址为办公自动化系统或者业务支撑系统的IP地址时,根据所述层次关系查找所述设备的下级设备中是否存在防火墙,如果所述设备的下级设备中存在防火墙,则将连接所述设备与所述防火墙的网路上的所有设备,以及所述防火墙连接的主机,划分于内部互联接口区, 根据所述路由信息表的解析结果、所述互联关系和所述层次关系,判断设备是否属于核心交换区,包括: 根据业务系统中所有设备的路由信息表,查找所有路由信息表中重复最多的下一跳IP地址,将所述重复最多的下一跳IP地址对应的设备及其主用设备或者备用设备划分于核心交换区, 根据所述路由信息表的解析结果、所述互联关系和所述层次关系,判断设备是否属于核心生产区,包括: 对不属于外部互联接口区、不属于内部互联接口区以及不属于核心交换区的设备,判断其是否与外部互联接口区、内部互联接口区或者核心交换区的设备存在互联关系,如果其与外部互联接口区、内部互联接口区或者核心交换区的设备存在互联关系,且其为路由交换器或者主机,则将其划分于核心生产区。5.如权利要求1所述的业务系统网络拓扑关系获取方法,其特征在于,所述采集设备的网络结构信息,包括: 分布式建立到被各个设备的网络连接; 根据设备的类型查询设备的版本号; 根据所述设备的版本号选择对应的采集脚本; 执行所述采集脚本,采集设备的网络结构信息。6.一种业务系统网络拓扑关系获取装置,其特征在于,包括: 网络结构信息采集单元,用于采集设备的网络结构信息,所述网络结构信息包括设备的地址解析协议信息表、介质访问控制地址表、路由信息表、接口信息表和配置信息; 网络拓扑关系解析单元,用于解析所述网络结构信息得到设备的互联关系、层次关系和分区关系,所述网络拓扑关系解析单元包括: 互联关系解析子单元,用于解析所述地址解析协议信息表、介质访问控制地址表和接口信息表,得到设备的互联关系; 层次关系解析子单元,用于解析所述路由信息表,得到解析结果,根据所述解析结果得到设备的层次关系; 分区关系解析子单元,用于根据所述路由信息表的解析结果、所述互联关系和所述层次关系,划分设备的分区关系, 其中,所述互联关系包括二层直连关系和三层直连关系。7.如权利要求6所述的业务系统网络拓扑关系获取装置,其特征在于,所述互联关系解析子单元,包括: 接口解析模块,用于解析所述接口信息表得到设备的每个接口的信息; 标准化模块,用于标准化所述地址解析协议信息表和所述介质访问控制地址表; 二层直连关系获取模块,用于对设备的每个接口,根据标准化后的介质访问控制地址表查询接口对应的介质访问控制地址是否以其他单个设备的介质访问控制地址为子集,如果所述接口对应的介质访问控制地址以其他单个设备的介质访问控制地址为子集,则所述设备与所述其他单个设备存在二层直连关系; 三层直连关系获取模块,用于对设备的每个接口,根据标准化后的地址解析协议信息表查询接口对应的IP地址是否为其他设备的IP地址,如果所述接口对应的IP地址为其他设备的IP地址,则所述设备与所述其他设备存在三层直连关系。8.如权利要求6所述的业务系统网络拓扑关系获取装置,其特征在于,所述层次关系解析子单元用于解析所述路由信息表,得到所述路由信息表中下一跳的IP地址,以所述下一跳的IP地址对应的设备为所述路由信息表对应的设备的下一级设备,得到设备的层次关系O9.如权利要求6所述的业务系统网络拓扑关系获取装置,其特征在于,所述分区关系解析子单元,包括: 第一处理模块,用于根据所述路由信息表的解析结果、所述互联关系和所述层次关系,判断设备是否属于外部互联接口区或者内部互联接口区,所述第一处理模块,包括: 路由信息解析子模块,用于解析所述路由信息表,得到所述路由信息表中下一跳的IP地址; 第一判断子模块,用于判断所述下一跳的IP地址是否为互联网地址; 第一分区子模块,用于如果所述下一跳的IP地址为互联网地址,根据所述层次关系查找所述设备的下级设备中是否存在防火墙,如果所述设备的下级设备中存在防火墙,则将连接所述设备与所述防火墙的网路上的所有设备,以及所述防火墙连接的主机,划分于外部互联接口区; 第二判断子模块,用于如果所述下一跳的IP地址不为互联网地址,则判断所述下一跳的IP地址是否为办公自动化系统或者业务支撑系统的IP地址; 第二分区子模块,用于当所述下一跳的IP地址为办公自动化系统或者业务支撑系统的IP地址时,根据所述层次关系查找所述设备的下级设备中是否存在防火墙,如果所述设备的下级设备中存在防火墙,则将连接所述设备与所述防火墙的网路上的所有设备,以及所述防火墙连接的主机,划分于内部互联接口区; 第三分区模块,用于根据业务系统中所有设备的路由信息表,查找所有路由信息表中重复最多的下一跳IP地址,将所述重复最多的下一跳IP地址对应的设备及其主用设备或者备用设备划分于核心交换区; 第四分区模块,用于对不属于外部互联接口区、不属于内部互联接口区以及不属于核心交换区的设备,判断其是否与外部互联接口区、内部互联接口区或者核心交换区的设备存在互联关系,如果其与外部互联接口区、内部互联接口区或者核心交换区的设备存在互联关系,且其为路由交换器或者主机,则将其划分于核心生产区。10.如权利要求6所述的业务系统网络拓扑关系获取装置,其特征在于,所述网络结构信息采集单元,包括: 网络连接子单元,用于分布式并发建立到被各个设备的网络连接; 版本查询子单元,用于根据设备的类型查询设备的版本号; 采集脚本选择子单元,用于根据所述设备的版本号选择对应的采集脚本; 执行子单元,用于执行所述采集脚本,采集到设备的网络结构信息。
【文档编号】H04L12/24GK105847023SQ201510019138
【公开日】2016年8月10日
【申请日】2015年1月14日
【发明人】闫冬枫, 徐瑜, 陈浩, 李金伟, 高峰, 张建军, 苏砫, 鲍自敏
【申请人】北京神州泰岳信息安全技术有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1