业务系统网络拓扑关系获取方法及装置制造方法及图纸

本申请实施例公开了一种业务系统网络拓扑关系获取方法及装置。通过采集设备的网络结构信息，包括设备的地址解析协议信息表、介质访问控制地址表、路由信息表和接口信息表，解析所述网络结构信息，自动得到设备的互联关系、层次关系和分区关系，相较人工分析获取业务系统网络拓扑关系的方式，具有更高的效率和准确性。

【技术实现步骤摘要】

本专利技术涉及信息安全
，尤其涉及一种业务系统网络拓扑关系获取方法及装置。
技术介绍
互联网技术的快速发展，使得企业业务系统的计算机网络变得越来越复杂，为便于观察和维护网络及设备，需要获取业务系统的网络拓扑关系，即业务系统中设备之间的连接以及从属关系。业务系统中的设备主要包括防火墙、路由交换器、负载均衡器以及主机，设备之间的连接以及从属关系，则具体包括设备之间的互联关系、层次关系和分区关系。其中，互联关系包括二层直连关系和三层直连关系，二层直连关系为设备之间的物理地址连接关系，三层直连关系为设备之间的IP地址连接关系；层次关系为设备之间的主从关系，从设备为主用设备的下一级设备；根据国家发布的《中国移动安全域管理办法》、《中国移动管理信息系统安全域划分技术要求》、《中国移动数据业务系统集中化安全防护技术要求》、《中国移动网管系统安全域划分技术要求》和《中国移动支撑系统安全域划分与边界整合技术要求》中对业务系统分区的划分标准和规范，业务系统划分为4个分区，即互联网接口区、内部互联接口区、核心交换区和核心生产区。其中，互联网接口区主要放置直接访问互联网的设备，例如业务系统门户(Portal)，该区域的设备主要实现互联网与核心生产区的数据转接；内部互联接口区主要放置和企业内部网络如IP专网和业务支撑系统连接的设备，例如网管采集设备；核心生产区放置仅和业务系统其它分区直接互联，不与任何外部网络直接互联，且在业务系统中处理事务最多和连接最多的设备；核心交换区主要放置负责连接核心生产区、内部互联接口区和外部互联接口区的设备。目前业务系统的网络拓扑关系主要使用人工方式获取，即人工采集设备的网络结构信息例如设备的连接信息和配置信息后，逐一分析每个设备的连接和从属关系，然后将分析结果汇总，当设备数量和设备类型众多时，这种方式的工作量将十分巨大，效率很低，为节省工作量，通常只简单分析设备之间的互联关系和层次关系，不能详尽地对设备之间的网络拓扑关系进行描述。另外，在获取业务系统的网络拓扑关系后，通常会根据网络拓扑关系绘制网络拓扑图，以直观地展现设备之间的连接与从属关系，传统根据网络拓扑关系绘制的网络拓扑图，通常是以某个设备为中心，按平铺方式形成圆形、方
形或扇形拓扑图来展现各个设备的连接情况，只能展现设备之间的互联关系，无法清晰地展现设备之间的层次关系，也不能进行分区显示。
技术实现思路
为克服相关技术中业务系统网络拓扑关系获取效率低的问题，本申请提供一种业务系统网络拓扑关系获取方法及装置。根据本申请实施例的第一方面，提供一种业务系统网络拓扑关系获取方法，包括：采集设备的网络结构信息，所述网络结构信息包括设备的地址解析协议信息表、介质访问控制地址表、路由信息表、接口信息表；解析所述网络结构信息得到设备的互联关系、层次关系、分区关系，包括：解析所述地址解析协议信息表、介质访问控制地址表和接口信息表，得到设备的互联关系；解析所述路由信息表，得到解析结果，根据所述解析结果得到设备的层次关系；根据所述路由信息表的解析结果、所述互联关系和所述层次关系，划分设备的分区关系，其中，所述互联关系包括二层直连关系和三层直连关系。其中，解析所述地址解析协议信息表、介质访问控制地址表和接口信息表，得到设备的互联关系，包括：解析所述接口信息表得到设备的每个接口的信息；标准化所述地址解析协议信息表和所述介质访问控制地址表；对设备的每个接口，根据标准化后的介质访问控制地址表查询接口对应的介质访问控制地址是否以其他单个设备的介质访问控制地址为子集，如果所述接口对应的介质访问控制地址以其他单个设备的介质访问控制地址为子集，则所述设备与所述其他单个设备存在二层直连关系；对设备的每个接口，根据标准化后的地址解析协议信息表查询接口对应的IP地址是否为其他设备的IP地址，如果所述接口对应的IP地址为其他设备的IP地址，则所述设备与所述其他设备存在三层直连关系。其中，解析所述路由信息表，得到解析结果，根据所述解析结果得到设备的层次关系，包括：解析所述路由信息表，得到所述路由信息表中下一跳的IP地址，以所述下一跳的IP地址对应的设备为所述路由信息表对应的设备的下一级设备，得到设备的层次关
系。其中，根据所述路由信息表的解析结果、所述互联关系和所述层次关系，划分设备的分区关系，包括：根据所述路由信息表的解析结果、所述互联关系和所述层次关系，判断设备是否属于外部互联接口区或者内部互联接口区，包括：解析所述路由信息表，得到所述路由信息表中下一跳的IP地址；判断所述下一跳的IP地址是否为互联网地址；如果所述下一跳的IP地址为互联网地址，根据所述层次关系查找所述设备的下级设备中是否存在防火墙，如果所述设备的下级设备中存在防火墙，则将连接所述设备与所述防火墙的网路上的所有设备，以及所述防火墙连接的主机，划分于外部互联接口区；如果所述下一跳的IP地址不为互联网地址，则判断所述下一跳的IP地址是否为办公自动化系统或者业务支撑系统的IP地址，当所述下一跳的IP地址为办公自动化系统或者业务支撑系统的IP地址时，根据所述层次关系查找所述设备的下级设备中是否存在防火墙，如果所述设备的下级设备中存在防火墙，则将连接所述设备与所述防火墙的网路上的所有设备，以及所述防火墙连接的主机，划分于内部互联接口区，根据所述路由信息表的解析结果、所述互联关系和所述层次关系，判断设备是否属于核心交换区，包括：根据业务系统中所有设备的路由信息表，查找所有路由信息表中重复最多的下一跳IP地址，将所述重复最多的下一跳IP地址对应的设备及其主用设备或者备用设备划分于核心交换区，根据所述路由信息表的解析结果、所述互联关系和所述层次关系，判断设备是否属于核心生产区，包括：对不属于外部互联接口区、不属于内部互联接口区以及不属于核心交换区的设备，判断其是否与外部互联接口区、内部互联接口区或者核心交换区的设备存在互联关系，如果其与外部互联接口区、内部互联接口区或者核心交换区的设备存在互联关系，且其为路由交换器或者主机，则将其划分于核心生产区。其中，所述采集设备的网络结构信息，包括：分布式建立到被各个设备的网络连接；根据设备的类型查询设备的版本号；根据所述设备的版本号选择对应的采集脚本；执行所述采集脚本，采集设备的网络结构信息。相应于本申请实施例的第一方面，根据本申请实施例的第三方面，提供一种业务系统网络拓扑关系获取装置，包括：网络结构信息采集单元，用于采集设备的网络结构信息，所述网络结构信息包括设备的地址解析协议信息表、介质访问控制地址表、路由信息表、接口信息表和配置信息；网络拓扑关系解析单元，用于解析所述网络结构信息得到设备的互联关系、层次关系和分区关系，所述网络拓扑关系解析单元包括：互联关系解析子单元，用于解析所述地址解析协议信息表、介质访问控制地址表和接口信息表，得到设备的互联关系；层次关系解析子单元，用于解析所述路由信息表，得到解析结果，根据所述解析结果得到设备的层次关系；分区关系解析子单元，用于根据所述路由信息表的解析结果、所述互联关系和所述层次关系，划分设备的分区关系，其中，所述互联关系包括二层直连关系和三层直连关系。其中，所述互联关系解析子单元，包括：接口解析模块，用于解析所述接口本文档来自技高网...

【技术保护点】
一种业务系统网络拓扑关系获取方法，其特征在于，包括：采集设备的网络结构信息，所述网络结构信息包括设备的地址解析协议信息表、介质访问控制地址表、路由信息表、接口信息表；解析所述网络结构信息得到设备的互联关系、层次关系、分区关系，包括：解析所述地址解析协议信息表、介质访问控制地址表和接口信息表，得到设备的互联关系；解析所述路由信息表，得到解析结果，根据所述解析结果得到设备的层次关系；根据所述路由信息表的解析结果、所述互联关系和所述层次关系，划分设备的分区关系，其中，所述互联关系包括二层直连关系和三层直连关系。

【技术特征摘要】
1.一种业务系统网络拓扑关系获取方法，其特征在于，包括：采集设备的网络结构信息，所述网络结构信息包括设备的地址解析协议信息表、介质访问控制地址表、路由信息表、接口信息表；解析所述网络结构信息得到设备的互联关系、层次关系、分区关系，包括：解析所述地址解析协议信息表、介质访问控制地址表和接口信息表，得到设备的互联关系；解析所述路由信息表，得到解析结果，根据所述解析结果得到设备的层次关系；根据所述路由信息表的解析结果、所述互联关系和所述层次关系，划分设备的分区关系，其中，所述互联关系包括二层直连关系和三层直连关系。2.如权利要求1所述的业务系统网络拓扑关系获取方法，其特征在于，解析所述地址解析协议信息表、介质访问控制地址表和接口信息表，得到设备的互联关系，包括：解析所述接口信息表得到设备的每个接口的信息；标准化所述地址解析协议信息表和所述介质访问控制地址表；对设备的每个接口，根据标准化后的介质访问控制地址表查询接口对应的介质访问控制地址是否以其他单个设备的介质访问控制地址为子集，如果所述接口对应的介质访问控制地址以其他单个设备的介质访问控制地址为子集，则所述设备与所述其他单个设备存在二层直连关系；对设备的每个接口，根据标准化后的地址解析协议信息表查询接口对应的IP地址是否为其他设备的IP地址，如果所述接口对应的IP地址为其他设备的IP地址，则所述设备与所述其他设备存在三层直连关系。3.如权利要求1所述的业务系统网络拓扑关系获取方法，其特征在于，解析所述路由信息表，得到解析结果，根据所述解析结果得到设备的层次关系，包括：解析所述路由信息表，得到所述路由信息表中下一跳的IP地址，以所述下一跳的IP地址对应的设备为所述路由信息表对应的设备的下一级设备，得到设备的层次关系。4.如权利要求1所述的业务系统网络拓扑关系获取方法，其特征在于，根据所述路由信息表的解析结果、所述互联关系和所述层次关系，划分设备的分区关系，包括：根据所述路由信息表的解析结果、所述互联关系和所述层次关系，判断设备是否属于外部互联接口区或者内部互联接口区，包括：解析所述路由信息表，得到所述路由信息表中下一跳的IP地址；判断所述下一跳的IP地址是否为互联网地址；如果所述下一跳的IP地址为互联网地址，根据所述层次关系查找所述设备的下级设备中是否存在防火墙，如果所述设备的下级设备中存在防火墙，则将连接所述设备与所述防火墙的网路上的所有设备，以及所述防火墙连接的主机，划分于外部互联接口区；如果所述下一跳的IP地址不为互联网地址，则判断所述下一跳的IP地址是否为办公自动化系统或者业务支撑系统的IP地址，当所述下一跳的IP地址为办公自动化系统或者业务支撑系统的IP地址时，根据所述层次关系查找所述设备的下级设备中是否存在防火墙，如果所述设备的下级设备中存在防火墙，则将连接所述设备与所述防火墙的网路上的所有设备，以及所述防火墙连接的主机，划分于内部互联接口区，根据所述路由信息表的解析结果、所述互联关系和所述层次关系，判断设备是否属于核心交换区，包括：根据业务系统中所有设备的路由信息表，查找所有路由信息表中重复最多的下一跳IP地址，将所述重复最多的下一跳IP地址对应的设备及其主用设备或者备用设备划分于核心交换区，根据所述路由信息表的解析结果、所述互联关系和所述层次关系，判断设备是否属于核心生产区，包括：对不属于外部互联接口区、不属于内部互联接口区以及不属于核心交换区的设备，判断其是否与外部互联接口区、内部互联接口区或者核心交换区的设备存在互联关系，如果其与外部互联接口区、内部互联接口区或者核心交换区的设备存在互联关系，且其为路由交换器或者主机，则将其划分于核心生产区。5.如权利要求1所述的业务系统网络拓扑关系获取方法，其特征在于，所述采集设备的网络结构信息，包括：分布式建立到被各个设备的网络连接；根据设备的类型查询设备的版本号；根据所述设备的版本号选择对应的采集脚本；执行所述采集脚本，采集设备的网络结构信息。6.一种业务系统网络拓扑关系获取装置，其特征在于，包括：网络结构信息采集单元，用于采集...

【专利技术属性】
技术研发人员：闫冬枫，徐瑜，陈浩，李金伟，高峰，张建军，苏砫，鲍自敏，
申请(专利权)人：北京神州泰岳信息安全技术有限公司，
类型：发明
国别省市：北京;11