CN114244763A - 基于规则引擎的动态网络拓扑管理方法及其系统 - Google Patents
基于规则引擎的动态网络拓扑管理方法及其系统 Download PDFInfo
- Publication number
- CN114244763A CN114244763A CN202111563852.8A CN202111563852A CN114244763A CN 114244763 A CN114244763 A CN 114244763A CN 202111563852 A CN202111563852 A CN 202111563852A CN 114244763 A CN114244763 A CN 114244763A
- Authority
- CN
- China
- Prior art keywords
- information
- routing
- equipment
- network topology
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims abstract description 49
- 238000004458 analytical method Methods 0.000 claims abstract description 43
- 238000012800 visualization Methods 0.000 claims abstract description 15
- 238000000034 method Methods 0.000 claims abstract description 11
- 230000008676 import Effects 0.000 claims description 10
- 230000000007 visual effect Effects 0.000 claims description 7
- 238000004364 calculation method Methods 0.000 claims description 5
- 230000006870 function Effects 0.000 claims description 3
- 238000012423 maintenance Methods 0.000 abstract description 4
- 238000010606 normalization Methods 0.000 abstract 1
- 239000003795 chemical substances by application Substances 0.000 description 4
- 238000010586 diagram Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- ABEXEQSGABRUHS-UHFFFAOYSA-N 16-methylheptadecyl 16-methylheptadecanoate Chemical compound CC(C)CCCCCCCCCCCCCCCOC(=O)CCCCCCCCCCCCCCC(C)C ABEXEQSGABRUHS-UHFFFAOYSA-N 0.000 description 1
- 101100339496 Caenorhabditis elegans hop-1 gene Proteins 0.000 description 1
- 102100036255 Glucose-6-phosphatase 2 Human genes 0.000 description 1
- 101000930907 Homo sapiens Glucose-6-phosphatase 2 Proteins 0.000 description 1
- 241000764238 Isis Species 0.000 description 1
- 241000721662 Juniperus Species 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000005417 image-selected in vivo spectroscopy Methods 0.000 description 1
- 238000012739 integrated shape imaging system Methods 0.000 description 1
- 239000002904 solvent Substances 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/12—Shortest path evaluation
- H04L45/122—Shortest path evaluation by minimising distances, e.g. by selecting a route with minimum of number of hops
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/20—Hop count for routing purposes, e.g. TTL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开基于规则引擎的动态网络拓扑管理方法及其系统,利用规则分析引擎进行统一处理不同厂家,不同型号的设备配置信息,并规整化输出结果数据。利用原系统的资产数据,进行二次加工作为网络拓扑的基础数据进行主机侧的拓扑数据规整。利用路由信息实现网络拓扑图的动态生成和路径可视化的选路。本发明简化网络拓扑的维护成本和安全策略可识别能力,支持对源地址、目的地址、端口等信息进行路径溯源分析及呈现,可协助管理员进行暴露面核查工作并及时发现可能存在的风险路径,自动溯源安全风险情况,如漏洞、预警、告警等威胁信息,并采取一键封堵等方式进行风险处置,及时阻断威胁。
Description
技术领域
本发明涉及网络基础拓扑技术领域,尤其涉及基于规则引擎的动态网络拓扑管理方法及其系统。
背景技术
网络技术更新换代的速度加快以及维护人员的频繁流动…等等问题,使得整个网络基础拓扑越来越难于管控。一个新业务系统的上线或者下线往往最头疼的就是边界防火墙的安全策略调整和网络设备的路由规划问题,如何为使用者解决这个问题就变为尤为重要了。放眼整个行业网管系统出现已经大十几年了,但是各行各家系统也只是适配了本家的产品,没有一个统一的平台,来针对主流的路由器、交换机、防火墙等产品的管理。行业现状大到运营商小到十来人的办事处,所涉及到的网络产品和安全产品都是各种各样的,如何对这些各式各样的产品进行统一管理,也是各公司所面临的问题。拓扑的可视化管理中,针对主机层的管理目前都是手工的方式添加,维护工作量很大。
发明内容
本发明的目的在于提供基于规则引擎的动态网络拓扑管理方法及其系统。
本发明采用的技术方案是:
基于规则引擎的动态网络拓扑管理方法,其包括以下步骤:
步骤1,获取不同厂家的不同类型网络设备的设备信息形成结果文件存到系统指定目录中,以便为规则解析引擎提供数据来源;
步骤2,在规则解析引擎中针对不同设备的不同项指定不同的解析规则,并最终规则成统一格式的路由数据;
步骤3,根据解析规整后的路由数据,通过拓扑生成引擎模块进行最优路由计算,并匹配相应下一跳设备,依次关联自动形成三层网络拓扑表,并将最终结果的入库和展示。
进一步地,步骤1中通过采集程序自动化采集配置文件信息;具体步骤如下:
步骤1-1,读取配置文件,获取前后两次的间隔天数;
步骤1-2,判断当前时间是否为凌晨;是则,间隔天数减一;否则,执行步骤6;
步骤1-3,判断间隔天数是否为0;是则,间隔天数重置,获取路由命令表中的数据以取出对应设备的命令后执行步骤1-4;否则,等待下次检查周期并执行步骤1-1;
步骤1-4,根据命令通过ssh登陆路由器上进行执行获取对应的路由信息和接口信息并存储到结果文件中。
进一步地,步骤1中设备信息包括配置文件、路由表、MAC地址表、ARP表信息收集。
进一步地,步骤1中通过平台侧提供手工导入配置信息:用户通过路由接口管理导入路由接口配置;具体地,通过选择厂商和设备导入相应配置文件。
进一步地,步骤2中解析规则包括路由解析规则、ACL解析规则、NAT解析规则、安全策略解析规则。
进一步地,步骤2中结果文件解析规则具体步骤如下:
步骤2-1,对结果文件进行解析,获取对应得路由信息通过mq发送到前端,并将接口信息入库到接口信息表,
步骤2-2,前端运行后,登录用户进入路由管理配置。
最优路由计算最优路由计算的具体步骤如下:
步骤3-1,当一个目标地址被多个网络目标覆盖的时候,判断子网掩码的长度是否相同;是则,执行步骤3-2;否则,选择最长的子网掩码的路由;
步骤3-2,当子网掩码长度相同的情况下,判断路由器的管理距离是否相等;是则,执行步骤3-3;否则,选择管理距离最小的路由条目;
具体地,管理距离是指提供路由可信度的一个参考值,如果管理距离越小,路由条目越可靠。
步骤3-3,计算各个路由的度量值,将度量值最小的路由进入路由表。
进一步地,步骤3中通过路由表管理导入相应路由文件系统以自动生成拓扑图;用户进入业务系统找到已导入设备所在的业务系统,点击查看或编辑网络拓扑将新增修改网络拓扑图。
进一步地,步骤3中网络拓扑生成步骤具体如下:
(1)、路由器防火墙等三层设备拓扑生成方式:
步骤3-1-1,取三层设备路由表,配置文件(如果没有配置文件需导入接口表),将路由信息进行导入;
步骤3-1-2,通过配置信息解析出设备接口明细;
步骤3-1-3,通过路由表下一跳匹配接口形式,生成三层拓扑;
(2)、三层设备与交换机拓扑生成方式:
步骤3-2-1,针对启用三层模式的交换设备,基于具备路由功能根据路由表进行关联;
步骤3-2-2,针对未启用三层模式的设备,在三层设备上配置子接口,数据转发通过三层设备处理,并与交换机关联;
步骤3-2-2中关联交换机的具体步骤如下:
步骤3-2-2-1,获取路由设备、交换设备全量接口mac地址;
步骤3-2-2-2,通过查看路由设备、交换机mac地址表中接口信息进行关联。
进一步地,步骤3-2-2-2中当交换机存在默认路由情况下,通过默认路由关联的下一跳,与路由器接口信息进行匹配,关联出拓扑。
(3)、交换机与交换机拓扑生成方式:
步骤3-3-1,基于源MAC地址学习,
步骤3-3-2,基于目标MAC地址转发;
步骤3-3-3,对于没有目标MAC地址表项的帧(未知单播帧),向本VLAN的其他所有接口转发;
步骤3-3-4,收到广/组播帧,向本VLAN的其他所有接口转发;
步骤3-3-5,同一个MAC地址被多个接口学习到,选择最后学习进来的接口(后面学习进来的会覆盖原始的);
步骤3-3-6,同一接口可以学习到多个MAC地址;
(4)、交换机与主机拓扑生成方式:
步骤3-4-1,获取交换机设备全量接口mac地址;
步骤3-4-2,代理(agent)获取主机mac地址;
步骤3-4-3,通过查看交换机mac地址表中接口信息进行关联。
基于规则引擎的动态网络拓扑管理系统,其包括规则分析引擎以及与规则分析引擎方法的配置信息采集模块、拓扑生成引擎;规则分析引擎集成线上主流网络设备和安全设备的解析规则,以准确的分析出安全策略数据和安全路由数据;拓扑生成引擎集成主流网络设备和安全设备的路由表的解析能力,根据路由表信息进行三层网络拓扑的生成,同时结合二层MAC地址信息能够实现针对主机层的网络拓扑纳管;
进一步地,配置信息采集模块包括导入配置文件信息单元和自动采集配置信息单元,导入配置文件信息单元在平台侧提供手工导入配置信息的入口,自动采集配置信息单元提供采集程序并在采集程序中配置设备信息进行自动化采集。
进一步地,拓扑生成引擎连接有网络拓扑可视化模块,网络拓扑可视化模块对拓扑数据进行信息的可视化展示;规则分析引擎连接有安全策略可视化模块,安全策略可视化模块对策略数据进行信息的可视化展示。
本发明采用以上技术方案,利用规则分析引擎进行统一处理不同厂家,不同型号的设备配置信息,并规整化输出结果数据。利用原系统的资产数据,进行二次加工作为网络拓扑的基础数据,如:利用现有资产的MAC地址信息和二层交换机上的MAC地址信息,进行主机侧的拓扑数据规整。利用路由信息实现网络拓扑图的动态生成和路径可视化的选路。
本发明能够解决不同厂家、不同型号设备的安全策略统一管理,能够生成主机层的网络拓扑信息,并且支持分组管理,能够管理信息能够实现针对策略的安全分析和访问路径的追踪。
附图说明
以下结合附图和具体实施方式对本发明做进一步详细说明;
图1为本发明基于规则引擎的动态网络拓扑管理系统的结构示意图;
图2为本发明基于规则引擎的动态网络拓扑管理系统的整体架构示意图;
图3为本发明基于规则引擎的动态网络拓扑成流程示意图;
图4为过采集程序自动化采集配置文件信息的流程示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图对本申请实施例中的技术方案进行清楚、完整地描述。
本发明涉及收集信息,解析数据,生成结果。其中收集信息包括:人工收集和自动收集两种方式。人工收集方式由设备使用者导出设备的配置信息和路由信息,自动收集方式由设备使用者提供登录方式,由平台自动登录设备进行采集配置信息和路由信息。解析数据包括针对路由、接口、ACL策略、安全策略、NAT策略、地址对象、服务对象、时间对象、ARP信息、MAC地址等数据的解析,解析工作由统一由规则引擎处理。生成结果包括网络拓扑的生成和规整化的结果对象,该操作统一由拓扑生成引擎处理。
如图1至图4所示,本发明公开了基于规则引擎的动态网络拓扑管理方法,其包括以下步骤:
步骤1,获取不同厂家的不同类型网络设备的设备信息形成结果文件存到系统指定目录中,以便为规则解析引擎提供数据来源;该过程包括了思科路由器、交换机、防火墙,华为路由器、交换机、防火墙,H3C路由器、交换机、防火墙,中兴路由器、交换机,Juniper防火墙,山石防火墙等多厂家多类型的配置文件、路由表、MAC地址表、ARP表信息收集。并将信息存到系统指定目录中。给规则解析引擎提供数据来源。
步骤2,在规则解析引擎中针对不同设备的不同项指定不同的解析规则,并最终规则成统一格式的路由数据;比如:思科路由器的路由解析规则、ACL解析规则、NAT解析规则、安全策略解析规则等等。
步骤3,根据解析规整后的路由数据,通过拓扑生成引擎模块进行最优路由计算,并匹配相应下一跳设备,依次关联自动形成三层网络拓扑表,并将最终结果的入库和展示。展示信息包括了网络拓扑和规则数据。
进一步地,如图4所示,步骤1中通过采集程序自动化采集配置文件信息;具体步骤如下:
步骤1-1,读取配置文件,获取前后两次的间隔天数;
步骤1-2,判断当前时间是否为凌晨;是则,间隔天数减一;否则,执行步骤6;
步骤1-3,判断间隔天数是否为0;是则,间隔天数重置,获取路由命令表中的数据以取出对应设备的命令后执行步骤1-4;否则,等待下次检查周期并执行步骤1-1;
步骤1-4,根据命令通过ssh登陆路由器上进行执行获取对应的路由信息和接口信息并存储到结果文件中。
进一步地,步骤1中设备信息包括配置文件、路由表、MAC地址表、ARP表信息收集。
进一步地,步骤1中通过平台侧提供手工导入配置信息:用户通过路由接口管理导入路由接口配置;具体地,通过选择厂商和设备导入相应配置文件。
进一步地,步骤2中解析规则包括路由解析规则、ACL解析规则、NAT解析规则、安全策略解析规则。
进一步地,步骤2中结果文件解析规则具体步骤如下:
步骤2-1,对结果文件进行解析,获取对应得路由信息通过mq发送到前端,并将接口信息入库到接口信息表,
步骤2-2,前端运行后,登录用户进入路由管理配置。
具体地,对结果文件进行解析,获取对应得路由信息通过mq发送到前端,并将接口信息入库到接口信息表,前端运行后,登录用户进入路由管理配置,路由接口管理导入路由接口配置选择厂商和设备导入相应配置文件再进入路由表管理导入选择厂商和设备导入相应路由文件系统将自动生成拓扑图用户进入业务系统找到已导入设备所在的业务系统点击查看或编辑网络拓扑将可新增修改网络拓扑图。
进一步地,最优路由计算最优路由计算的具体步骤如下:
步骤3-1,当一个目标地址被多个网络目标覆盖的时候,判断子网掩码的长度是否相同;是则,执行步骤3-2;否则,选择最长的子网掩码的路由;
具体地,比如到达10.0.0.1网络有两条路由条目:10.0.0.0/24下一条是12.1.1.2,10.0.0.0/16的下一条是13.1.1.3。由于第一条的子网掩码/24大于第二条的/16,所以路由将到达10.0.0.1网络的数据发往12.1.1.2。然而,路由上有发往10.0.1.1的数据,就选择10.0.0.0/16,因为10.0.1.1不包含在10.0.0.0/24网络当中。
步骤3-2,当子网掩码长度相同的情况下,判断路由器的管理距离是否相等;是则,执行步骤3-3;否则,选择管理距离最小的路由条目;管理距离AD是指提供路由可信度的一个参考值,如果管理距离越小,路由条目越可靠,如表1所示。这就是说,较小管理距离的路由条目优先于较大的条目,管理距离的取值范围是从0-255,然而,0是最可信的,255是最不可信的。假如一台路由收到同一个网络的两条路由更新,路由器会选择管理距离较小的那条,放入路由表。
| 路由协议 | AD值 |
| 直连路由 | 0 |
| 关联出接口的静态路由 | 1 |
| 关联下一跳的静态路由 | 1 |
| EIGRP汇总路由 | 5 |
| 外部BGP | 20 |
| 内部EIGRP | 90 |
| IGRP | 100 |
| OSPF | 110 |
| ISIS | 115 |
| RIP V1-V2 | 120 |
| 外部EIGRP | 170 |
| 内部BGP | 200 |
表1:路由协议AD值
具体地,如到达10.1.1.0/24路由有两条,一条管理距离是120,一条管理距离是110,那么路由器优先选择OSPF学习到的路由条目放进自己的路由表中。
具体地,
步骤3-3,计算各个路由的度量值,将度量值最小的路由进入路由表。比如说,路由器通过RIP学习到了10.0.0.0/24的两个条目,一个条目的跳数(hop)是2,另一个的跳数是3,那么,路由器选择跳数是2的那个条目放入路由表。
进一步地,步骤3中通过路由表管理导入相应路由文件系统以自动生成拓扑图;用户进入业务系统找到已导入设备所在的业务系统,点击查看或编辑网络拓扑将新增修改网络拓扑图。
进一步地,步骤3中网络拓扑生成步骤具体如下:
(1)、路由器防火墙等三层设备拓扑生成方式:
步骤3-1-1,取三层设备路由表,配置文件(如果没有配置文件需导入接口表),将路由信息进行导入;
步骤3-1-2,通过配置信息解析出设备接口明细;
步骤3-1-3,通过路由表下一跳匹配接口形式,生成三层拓扑;
(2)、三层设备与交换机拓扑生成方式:
步骤3-2-1,针对启用三层模式的交换设备,基于具备路由功能根据路由表进行关联;
步骤3-2-2,针对未启用三层模式的设备,在三层设备上配置子接口,数据转发通过三层设备处理,并与交换机关联;
步骤3-2-2中关联交换机的具体步骤如下:
步骤3-2-2-1,获取路由设备、交换设备全量接口mac地址;
步骤3-2-2-2,通过查看路由设备、交换机mac地址表中接口信息进行关联。
进一步地,步骤3-2-2-2中当交换机存在默认路由情况下,通过默认路由关联的下一跳,与路由器接口信息进行匹配,关联出拓扑。
(3)、交换机与交换机拓扑生成方式:
步骤3-3-1,基于源MAC地址学习,
步骤3-3-2,基于目标MAC地址转发;
步骤3-3-3,对于没有目标MAC地址表项的帧(未知单播帧),向本VLAN的其他所有接口转发;
步骤3-3-4,收到广/组播帧,向本VLAN的其他所有接口转发;
步骤3-3-5,同一个MAC地址被多个接口学习到,选择最后学习进来的接口(后面学习进来的会覆盖原始的);
步骤3-3-6,同一接口可以学习到多个MAC地址;
(4)、交换机与主机拓扑生成方式:
步骤3-4-1,获取交换机设备全量接口mac地址;
步骤3-4-2,代理(agent)获取主机mac地址;
步骤3-4-3,通过查看交换机mac地址表中接口信息进行关联。
如图1或2所示,基于规则引擎的动态网络拓扑管理系统,其包括规则分析引擎以及与规则分析引擎方法的配置信息采集模块、拓扑生成引擎;规则分析引擎集成线上主流网络设备和安全设备的解析规则,以准确的分析出安全策略数据和安全路由数据;拓扑生成引擎集成主流网络设备和安全设备的路由表的解析能力,根据路由表信息进行三层网络拓扑的生成,同时结合二层MAC地址信息能够实现针对主机层的网络拓扑纳管;
进一步地,配置信息采集模块包括导入配置文件信息单元和自动采集配置信息单元,导入配置文件信息单元在平台侧提供手工导入配置信息的入口,自动采集配置信息单元提供采集程序并在采集程序中配置设备信息进行自动化采集。
进一步地,拓扑生成引擎连接有网络拓扑可视化模块,网络拓扑可视化模块对拓扑数据进行信息的可视化展示;规则分析引擎连接有安全策略可视化模块,安全策略可视化模块对策略数据进行信息的可视化展示。
本发明采用以上技术方案,利用规则分析引擎进行统一处理不同厂家,不同型号的设备配置信息,并规整化输出结果数据。利用原系统的资产数据,进行二次加工作为网络拓扑的基础数据,如:利用现有资产的MAC地址信息和二层交换机上的MAC地址信息,进行主机侧的拓扑数据规整。利用路由信息实现网络拓扑图的动态生成和路径可视化的选路。
本发明简化网络拓扑的维护成本和安全策略可识别能力,支持对源地址、目的地址、端口等信息进行路径溯源分析及呈现,可协助管理员进行暴露面核查工作并及时发现可能存在的风险路径,自动溯源安全风险情况,如漏洞、预警、告警等威胁信息,并采取一键封堵等方式进行风险处置,及时阻断威胁。本发明能够解决不同厂家、不同型号设备的安全策略统一管理,能够生成主机层的网络拓扑信息,并且支持分组管理,能够管理信息能够实现针对策略的安全分析和访问路径的追踪。
显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
Claims (10)
1.基于规则引擎的动态网络拓扑管理方法,其特征在于:其包括以下步骤:
步骤1,获取不同厂家的不同类型网络设备的设备信息形成结果文件存到系统指定目录中,以便为规则解析引擎提供数据来源;设备信息包括配置文件、路由表、MAC地址表、ARP表信息收集;
步骤2,在规则解析引擎中针对不同设备的不同项指定不同的解析规则,并最终规则成统一格式的路由数据;
步骤3,根据解析规整后的路由数据,通过拓扑生成引擎模块进行最优路由计算,并匹配相应下一跳设备,依次关联自动形成三层网络拓扑表,并将最终结果的入库和展示。
2.根据权利要求1所述的基于规则引擎的动态网络拓扑管理方法,其特征在于:步骤1中通过采集程序自动化采集配置文件信息;具体步骤如下:
步骤1-1,读取配置文件,获取前后两次的间隔天数;
步骤1-2,判断当前时间是否为凌晨;是则,间隔天数减一;否则,执行步骤6;
步骤1-3,判断间隔天数是否为0;是则,间隔天数重置,获取路由命令表中的数据以取出对应设备的命令后执行步骤1-4;否则,等待下次检查周期并执行步骤1-1;
步骤1-4,根据命令通过ssh登陆路由器上进行执行获取对应的路由信息和接口信息并存储到结果文件中。
3.根据权利要求1所述的基于规则引擎的动态网络拓扑管理方法,其特征在于:步骤1中通过平台侧提供手工导入配置信息:用户通过路由接口管理导入路由接口配置。
4.根据权利要求1所述的基于规则引擎的动态网络拓扑管理方法,其特征在于:步骤2中解析规则包括路由解析规则、ACL解析规则、NAT解析规则、安全策略解析规则;结果文件解析规则具体步骤如下:
步骤2-1,对结果文件进行解析,获取对应得路由信息通过mq发送到前端,并将接口信息入库到接口信息表,
步骤2-2,前端运行后,登录用户进入路由管理配置。
5.根据权利要求1所述的基于规则引擎的动态网络拓扑管理方法,其特征在于:最优路由计算最优路由计算的具体步骤如下:
步骤3-1,当一个目标地址被多个网络目标覆盖的时候,判断子网掩码的长度是否相同;是则,执行步骤3-2;否则,选择最长的子网掩码的路由;
步骤3-2,当子网掩码长度相同的情况下,判断路由器的管理距离是否相等;是则,执行步骤3-3;否则,选择管理距离最小的路由条目;
步骤3-3,计算各个路由的度量值,将度量值最小的路由进入路由表。
6.根据权利要求1所述的基于规则引擎的动态网络拓扑管理方法,其特征在于:步骤3中通过路由表管理导入相应路由文件系统以自动生成拓扑图;用户进入业务系统找到已导入设备所在的业务系统,点击查看或编辑网络拓扑将新增修改网络拓扑图。
7.根据权利要求1所述的基于规则引擎的动态网络拓扑管理方法,其特征在于:步骤3中网络拓扑生成步骤具体如下:
(1)、路由器防火墙等三层设备拓扑生成方式:
步骤3-1-1,取三层设备路由表,配置文件(如果没有配置文件需导入接口表),将路由信息进行导入;
步骤3-1-2,通过配置信息解析出设备接口明细;
步骤3-1-3,通过路由表下一跳匹配接口形式,生成三层拓扑;
(2)、三层设备与交换机拓扑生成方式:
步骤3-2-1,针对启用三层模式的交换设备,基于具备路由功能根据路由表进行关联;
步骤3-2-2,针对未启用三层模式的设备,在三层设备上配置子接口,数据转发通过三层设备处理,并与交换机关联;
步骤3-2-2中关联交换机的具体步骤如下:
步骤3-2-2-1,获取路由设备、交换设备全量接口mac地址;
步骤3-2-2-2,通过查看路由设备、交换机mac地址表中接口信息进行关联;
(3)、交换机与交换机拓扑生成方式:基于交换机的原理生成对应的拓扑;
基于交换机的原理为:基于源MAC地址学习;基于目标MAC地址转发;对于没有目标MAC地址表项的帧,向本VLAN的其他所有接口转发;收到广/组播帧,向本VLAN的其他所有接口转发;同一个MAC地址被多个接口学习到,选择最后学习进来的接口;同一接口学习到多个MAC地址;
(4)、交换机与主机拓扑生成方式:
步骤3-4-1,获取交换机设备全量接口mac地址;
步骤3-4-2,代理获取主机mac地址;
步骤3-4-3,通过查看交换机mac地址表中接口信息进行关联。
8.基于规则引擎的动态网络拓扑管理系统,采用权利要求1至7任一所述的基于规则引擎的动态网络拓扑管理方法,其特征在于:系统包括规则分析引擎以及与规则分析引擎方法的配置信息采集模块、拓扑生成引擎;规则分析引擎集成线上主流网络设备和安全设备的解析规则,以准确的分析出安全策略数据和安全路由数据;拓扑生成引擎集成主流网络设备和安全设备的路由表的解析能力,根据路由表信息进行三层网络拓扑的生成,同时结合二层MAC地址信息能够实现针对主机层的网络拓扑纳管。
9.根据权利要求8所述的基于规则引擎的动态网络拓扑管理系统,其特征在于:配置信息采集模块包括导入配置文件信息单元和自动采集配置信息单元,导入配置文件信息单元在平台侧提供手工导入配置信息的入口,自动采集配置信息单元提供采集程序并在采集程序中配置设备信息进行自动化采集。
10.根据权利要求8所述的基于规则引擎的动态网络拓扑管理系统,其特征在于:拓扑生成引擎连接有网络拓扑可视化模块,网络拓扑可视化模块对拓扑数据进行信息的可视化展示;规则分析引擎连接有安全策略可视化模块,安全策略可视化模块对策略数据进行信息的可视化展示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111563852.8A CN114244763B (zh) | 2021-12-20 | 2021-12-20 | 基于规则引擎的动态网络拓扑管理方法及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111563852.8A CN114244763B (zh) | 2021-12-20 | 2021-12-20 | 基于规则引擎的动态网络拓扑管理方法及其系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114244763A true CN114244763A (zh) | 2022-03-25 |
| CN114244763B CN114244763B (zh) | 2023-11-17 |
Family
ID=80759596
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111563852.8A Active CN114244763B (zh) | 2021-12-20 | 2021-12-20 | 基于规则引擎的动态网络拓扑管理方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114244763B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115102865A (zh) * | 2022-06-27 | 2022-09-23 | 李泽宾 | 一种网络安全设备拓扑管理方法及系统 |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1913485A (zh) * | 2005-08-11 | 2007-02-14 | 中兴通讯股份有限公司 | 自动探测网络拓扑、建立路由表并实现窄带业务的方法 |
| CN101651561A (zh) * | 2009-08-25 | 2010-02-17 | 中兴通讯股份有限公司 | 基于规则引擎的网络拓扑分析方法和系统 |
| CN101917305A (zh) * | 2010-08-20 | 2010-12-15 | 迈普通信技术股份有限公司 | 自动化测试中拓扑自动检查方法以及自动化测试系统 |
| CN102801567A (zh) * | 2012-08-28 | 2012-11-28 | 北京傲天动联技术有限公司 | 分层网络拓扑自动发现的方法和分层网络拓扑组建的方法 |
| US20140195666A1 (en) * | 2011-08-04 | 2014-07-10 | Midokura Sarl | System and method for implementing and managing virtual networks |
| US20150195201A1 (en) * | 2012-11-08 | 2015-07-09 | Huawei Technologies Co., Ltd. | Topology Stratification Method and Apparatus, and Flooding Processing Method and Apparatus |
| WO2015131463A1 (zh) * | 2014-03-03 | 2015-09-11 | 国家电网公司 | 基于mac地址匹配的智能变电站网络设备拓扑动态识别方法 |
| CN105187259A (zh) * | 2015-10-10 | 2015-12-23 | 上海斐讯数据通信技术有限公司 | 一种基于gns工具生成拓扑图的路由管理系统及方法 |
| US20180367563A1 (en) * | 2015-12-14 | 2018-12-20 | Siemens Aktiengesellschaft | System and method for passive assessment of industrial perimeter security |
| CN109964451A (zh) * | 2016-11-22 | 2019-07-02 | 亚马逊科技公司 | 虚拟网络验证服务 |
| US20190334928A1 (en) * | 2018-04-25 | 2019-10-31 | Illusive Networks Ltd. | Organization attack surface management |
| CN111263938A (zh) * | 2017-09-29 | 2020-06-09 | 甲骨文国际公司 | 基于规则的自主数据库云服务框架 |
| CN111526156A (zh) * | 2020-04-30 | 2020-08-11 | 广州知弘科技有限公司 | 基于大数据的安全云平台系统 |
| CN111953530A (zh) * | 2020-07-28 | 2020-11-17 | 深圳供电局有限公司 | 一种网络设备监控管理方法及系统 |
| CN112134720A (zh) * | 2020-05-26 | 2020-12-25 | 北京国腾创新科技有限公司 | 一种网络拓扑发现方法 |
| CN113037542A (zh) * | 2021-02-24 | 2021-06-25 | 广州市品高软件股份有限公司 | 一种基于软件定义网络的云网络拓扑构建方法 |
-
2021
- 2021-12-20 CN CN202111563852.8A patent/CN114244763B/zh active Active
Patent Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1913485A (zh) * | 2005-08-11 | 2007-02-14 | 中兴通讯股份有限公司 | 自动探测网络拓扑、建立路由表并实现窄带业务的方法 |
| CN101651561A (zh) * | 2009-08-25 | 2010-02-17 | 中兴通讯股份有限公司 | 基于规则引擎的网络拓扑分析方法和系统 |
| CN101917305A (zh) * | 2010-08-20 | 2010-12-15 | 迈普通信技术股份有限公司 | 自动化测试中拓扑自动检查方法以及自动化测试系统 |
| US20140195666A1 (en) * | 2011-08-04 | 2014-07-10 | Midokura Sarl | System and method for implementing and managing virtual networks |
| CN102801567A (zh) * | 2012-08-28 | 2012-11-28 | 北京傲天动联技术有限公司 | 分层网络拓扑自动发现的方法和分层网络拓扑组建的方法 |
| US20150195201A1 (en) * | 2012-11-08 | 2015-07-09 | Huawei Technologies Co., Ltd. | Topology Stratification Method and Apparatus, and Flooding Processing Method and Apparatus |
| WO2015131463A1 (zh) * | 2014-03-03 | 2015-09-11 | 国家电网公司 | 基于mac地址匹配的智能变电站网络设备拓扑动态识别方法 |
| CN105187259A (zh) * | 2015-10-10 | 2015-12-23 | 上海斐讯数据通信技术有限公司 | 一种基于gns工具生成拓扑图的路由管理系统及方法 |
| US20180367563A1 (en) * | 2015-12-14 | 2018-12-20 | Siemens Aktiengesellschaft | System and method for passive assessment of industrial perimeter security |
| CN109964451A (zh) * | 2016-11-22 | 2019-07-02 | 亚马逊科技公司 | 虚拟网络验证服务 |
| CN111263938A (zh) * | 2017-09-29 | 2020-06-09 | 甲骨文国际公司 | 基于规则的自主数据库云服务框架 |
| US20190334928A1 (en) * | 2018-04-25 | 2019-10-31 | Illusive Networks Ltd. | Organization attack surface management |
| CN111526156A (zh) * | 2020-04-30 | 2020-08-11 | 广州知弘科技有限公司 | 基于大数据的安全云平台系统 |
| CN112134720A (zh) * | 2020-05-26 | 2020-12-25 | 北京国腾创新科技有限公司 | 一种网络拓扑发现方法 |
| CN111953530A (zh) * | 2020-07-28 | 2020-11-17 | 深圳供电局有限公司 | 一种网络设备监控管理方法及系统 |
| CN113037542A (zh) * | 2021-02-24 | 2021-06-25 | 广州市品高软件股份有限公司 | 一种基于软件定义网络的云网络拓扑构建方法 |
Non-Patent Citations (5)
| Title |
|---|
| 庄锁法;龚俭;: "网络测量中拓扑信息采集技术的分析与研究", 情报杂志, no. 04 * |
| 杨崇: "基于规则库的数据网告警识别引擎的设计与实现", 中国优秀硕士学位论文全文数据库工程科技Ⅱ辑, pages 136 - 176 * |
| 由维昭,刘强,韦卫,陈玉健: "多方位网络拓扑发现的通用算法与技术实现", 计算机应用研究, no. 12 * |
| 赵旺飞;王齐;: "基于事件关联的网络拓扑自动发现研究", 电信快报, no. 01 * |
| 邓勇;王汝传;黄海平;徐喜春;: "基于移动代理的网络拓扑发现技术的研究", 计算机科学, no. 10 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115102865A (zh) * | 2022-06-27 | 2022-09-23 | 李泽宾 | 一种网络安全设备拓扑管理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114244763B (zh) | 2023-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9391886B2 (en) | Identification of the paths taken through a network of interconnected devices | |
| US7450598B2 (en) | System and method to provision MPLS/VPN network | |
| US10880199B2 (en) | Data driven orchestrated network being responsive to environmental conditions using a light weight distributed controller | |
| US7720009B2 (en) | Virtual private network (VPN) topology identifier | |
| CN108011819B (zh) | 路由下发方法及装置 | |
| JP6193473B2 (ja) | コンピュータ実施方法、コンピュータプログラム製品及びコンピュータ | |
| US8203962B2 (en) | Network monitoring device, network monitoring method, and network monitoring program | |
| US9537760B2 (en) | Executing loops | |
| US9531598B2 (en) | Querying a traffic forwarding table | |
| WO2021047011A1 (zh) | 数据处理方法及装置、计算机存储介质 | |
| US8914503B2 (en) | Detected IP link and connectivity inference | |
| CN104579978B (zh) | 一种动态网络链路层拓扑发现方法 | |
| CN114244763B (zh) | 基于规则引擎的动态网络拓扑管理方法及其系统 | |
| CN107426100B (zh) | 一种基于用户组的vpn用户接入方法及装置 | |
| US7801057B2 (en) | Method and apparatus for converting a routing table into a collection of disjoint zones | |
| CN105207904A (zh) | 报文的处理方法、装置和路由器 | |
| CN105812168A (zh) | 一种绘制网络拓扑图的方法和装置 | |
| CN106411748B (zh) | 跨网络的动态拓扑维护方法 | |
| US11570193B2 (en) | Malware propagation risk assessment in software defined networks | |
| WO2024094090A1 (zh) | 网络异常检测方法、装置、设备及介质 | |
| CN118827138A (zh) | 一种验证信息生成方法、装置、设备、存储介质及计算机程序产品 | |
| CN117675673A (zh) | 网络路径确定方法、装置、设备及计算机可读存储介质 | |
| CN116781599A (zh) | 一种路由监控方法及装置 | |
| CN113193980A (zh) | 一种基于新型城域网拓扑快速生成功能配置的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |