非法設備發現方法及其網管系統的製作方法
2023-06-07 17:07:46 1
專利名稱:非法設備發現方法及其網管系統的製作方法
技術領域:
本發明涉及數據通信領域的網絡管理技木,尤其涉及網絡管理技術中的ニ層網絡發現技木。
背景技術:
隨著區域網技術、尤其是WLAN (無線區域網)的普及,在區域網中私自連接網絡設備已經成了影響區域網內部安全的重要因素。其危害包括網絡環路引起網絡風暴、內部資料通過WLAN洩密等。因此在區域網中一般禁止網絡設備私自連接網絡,我們通常將這種未經許可私自連接網絡的設備稱為非法設備。網絡管理員可以通過網絡發現技術及時發現並糾正非法設備連接的情況,傳統的⑶P (思科發現協議)、LLDP (鏈路層發現協議)、MAC (媒體訪問控制)地址通知等ニ層網絡發現協議可以發現網絡中的設備信息,但在技術實現上 要求接入網絡的每個設備都必須配置協議參數並啟動協議,而這對非法設備而言,幾乎是不可能的。
發明內容
本發明所要解決的技術問題,就是針對現有技術對非法設備發現困難的缺點,提供ー種非法設備發現方法及其網管系統。本發明解決所述技術問題,採用的技術方案是,a、選取種子設備,所述選取的種子設備開啟SNMP協議,並配置讀取數據的權限;b、通過SNMP協議訪問種子設備的MIB獲取種子設備的設備型號;C、根據種子設備的設備型號對種子設備進行判斷,如果具有交換功能,則執行步驟山否則執行步驟e;d、通過SNMP協議讀取種子設備的FDB表,將所述FDB表中的設備MAC地址與已知設備MAC地址庫進行比較,如果某項MAC地址沒有在已知設備MAC地址庫中,則將該MAC地址記錄到可疑設備MAC地址庫中;e、根據種子設備的設備型號再對種子設備進行判斷,如果具有路由功能,則執行步驟f,否則返回步驟a;f、通過SNMP協議讀取種子設備的IP位址表;對該種子設備的直連網段的所有IP位址進行PING掃描;讀取種子設備的ARP表,將所述ARP表中的設備MAC地址與已知設備MAC地址庫進行比較,如果某項MAC地址沒有在已知設備MAC地址庫中,則將該MAC地址記錄到可疑設備MAC地址庫中;返回步驟a。具體的,所述種子設備為匯聚設備或接入設備。進ー步的,步驟f中,所述直連網段是根據種子設備的IP位址表中接ロ的IP位址和掩碼計算得到的。進ー步的,步驟d具體包括通過SNMP協議讀取種子設備的FDB表,從所述FDB表中過濾出已知網絡設備供應商的設備MAC地址;將未知網絡設備供應商的設備MAC地址記錄到可疑設備MAC地址庫中;並將過濾出的設備MAC地址與已知設備MAC地址庫進行比較,如果某項MAC地址沒有在已知設備MAC地址庫中,則將該MAC地址記錄到可疑設備MAC地址庫中。進ー步的,步驟f中,將所述ARP表中的設備MAC地址與已知設備MAC地址庫進行比較,如果某項MAC地址沒有在已知設備MAC地址庫中,則將該MAC地址記錄到可疑設備MAC地址庫中,具體包括從所述ARP表中過濾出已知網絡設備供應商的設備MAC地址;將未知網絡設備供應商的設備MAC地址記錄到可疑設備MAC地址庫中;並將過濾出的設備MAC地址與已知設備MAC地址庫進行比較,如果某項MAC地址沒有在已知設備MAC地址庫中,則將該MAC地址記錄到可疑設備MAC地址庫中。本發明的另ー個目的,提供ー種網管系統,包括設備訪問模塊和地址比較模塊
所述設備訪問模塊,用於通過SNMP協議訪問選取的種子設備的MIB,獲取種子設備的設備型號,根據設備型號判斷種子設備是否是具有交換功能的設備,如是,則通過SNMP協議讀取種子設備的FDB表,並通知地址比較模塊;並根據設備型號判斷種子設備是否是具有路由功能的設備,如是,則通過SNMP協議讀取種子設備的IP位址表;對該種子設備的直連網段的所有IP位址進行PING掃描,讀取種子設備的ARP表,並通知地址比較模塊;所述地址比較模塊,用於將所述FDB表或者ARP表中的設備MAC地址與已知設備MAC地址庫進行比較,如果某項MAC地址沒有在已知設備MAC地址庫中,則將該MAC地址記錄到可疑設備MAC地址庫中。具體的,所述種子設備為匯聚設備或接入設備。進ー步的,所述地址比較模塊,還用於將所述FDB表或者ARP表中的設備MAC地址與已知設備MAC地址庫進行比較之前,從所述FDB表或者ARP表中的設備MAC地址過濾出已知網絡設備供應商的設備MAC地址,將未知網絡設備供應商的設備MAC地址記錄到可疑設備MAC地址庫中;將過濾出的已知網絡設備供應商的設備MAC地址與已知設備MAC地址庫進行比較。進ー步的,所述設備訪問模塊還用於根據種子設備的IP位址表中的接ロ IP位址和掩碼計算直連網段。進ー步的,所述可疑設備MAC地址庫中記錄有可疑設備MAC地址以及種子設備埠和/或種子設備IP位址。本發明的有益效果是,本發明分別利用ニ層設備的FDB表和三層設備的的IP位址表,發現非法接入私有網絡或者專有網絡的網絡設備,提高網絡的安全性;而且通過MAC地址識別出未知網絡設備供應商的設備MAC地址,提前對MAC地址進行過濾,實現方案簡單。
圖I是本發明實施例非法設備發現方法的流程圖;圖2是本發明實施例的網管系統的結構示意圖。
具體實施例方式下面結合附圖及實施例,詳細描述本發明的技術方案。本發明的非法設備發現方法,主要步驟如下
在網絡中選擇種子設備,要求種子設備開啟SNMP (簡單網絡管理協議)協議,並配置讀取數據的權限。訪問種子設備的MIB (管理信息庫),獲取種子設備的設備型號,根據種子設備型號判斷種子設備功能。對於不同功能的種子設備,通過SNMP協議讀取種子設備的轉發資料庫FDB表或地址轉換協議ARP表。查詢表項中各項MA C地址屬於哪個網絡設備供應商,從中過濾出已知網絡設備供應商商的設備MAC地址。通常可以根據設備MAC地址的前三個字節得到設備的OUI信息(Organization Unique Identifier,由IEEE分配給各個廠商的卩隹一標識,設備MAC地址的前三個字節即為0UI)從中過濾出已知網絡設備供應商的設備MAC地址。因為對於ー個網管系統來說,通常可以記錄已知網絡設備供應商。將未知網絡設備供應商的設備MAC地址記錄到可疑設備MAC地址庫中;並將過濾出的設備MAC地址與已知設備MAC地址庫進行比較,如果某項MAC地址沒有在已知設備MAC地址庫中,則將該MAC地址記錄到可疑設備MAC地址庫中。將過濾後餘下的設備MAC地址與已知設備MAC地址庫進行比較(如果該MAC地址庫還不存在,則需要在發現的過程中逐漸完善),如果某項MAC地址沒有在已知設備MAC地址庫中,則將該MAC地址記錄到可疑設備MAC地址庫中,並記錄種子設備埠和/或種子設備IP位址到資料庫中。實施例本例非法設備發現流程參見圖I,包括如下步驟步驟101,選取種子設備,所述選取的種子設備開啟SNMP協議,並配置讀取數據的權限。即從sysObjectID (I. 3. 6. I. 2. I. I. 2)中獲取種子設備的設備型號。對於種子設備的選取,一般建議選擇匯聚設備或接入設備,所述匯聚設備包括路由器和交換機。步驟102,通過SNMP協議訪問種子設備的MIB獲取種子設備的設備型號。步驟103,根據種子設備的設備型號對種子設備進行判斷,如果具有交換功能,則執行步驟104,否則執行步驟105。步驟104,通過SNMP協議讀取種子設備的FDB表,將所述FDB表中的設備MAC地址與已知設備MAC地址庫進行比較,如果某項MAC地址沒有在已知設備MAC地址庫中,則將該MAC地址記錄到可疑設備MAC地址庫中。FDB表是交換機ニ層的核心轉發表,所有ニ層報文均需要查詢該表後轉發,因此適合進行ニ層網絡的發現。FDB的表項包括MAC地址,所有ニ層轉發的MAC地址,都需要記錄在這個表項中。轉發端ロ,該MAC地址對應的轉發端ロ。該MAC地址類型,例如學習到的MAC地址、不可用MAC地址、自身MAC地址等等。步驟105,根據種子設備的設備型號再對種子設備進行判斷,如果具有路由功能,則執行步驟106,否則返回步驟101。對於ー個網管系統來說,要管理的網絡設備一般可能包括多個匯聚設備或者接入設備,則依次選擇該類設備進行網絡發現。另外,對於種子設備為路由器時,無法發現路由器後面的設備,則要求獲取該路由器的IP位址表。步驟106,通過SNMP協議讀取種子設備的IP位址表;對該種子設備的直連網段的所有IP位址進行PING掃描;讀取種子設備的ARP表,將所述ARP表中的設備MAC地址與已知設備MAC地址庫進行比較,如果某項MAC地址沒有在已知設備MAC地址庫中,則將該MAC地址記錄到可疑設備MAC地址庫中;返回步驟101。本步驟中,通過SNMP協議讀取種子設備的IP位址表;根據種子設備的IP位址表中的接ロ IP位址和掩碼計算直連網段;對該種子設備的直連網段的所有IP位址進行PING掃描;通過PING掃描,獲取該種子設備的ARP表。本實施例網管系統結構如圖2所示,包括設備訪問模塊201和地址比較模塊202 設備訪問模塊201,用於通過SNMP協議訪問選取的種子設備的MIB,獲取種子設備的設備型號,根據設備型號判斷種子設備是否是具有交換功能的設備,如是,則通過SNMP協議讀取種子設備的FDB表,並通知地址比較模塊202 ;並根據設備型號判斷種子設備是否是具有路由功能的設備,如是,則通過SNMP協議讀取種子設備的IP位址表;對該種子設備的直連網段的所有IP位址進行PING掃描,讀取種子設備的ARP表,並通知地址比較模塊202。設備訪問模塊201,還用於根據種子設備的IP位址表中的接ロ IP位址和掩碼計算直連網段。地址比較模塊202,用於將所述FDB表或者ARP表中的設備MAC地址與已知設備MAC地址庫進行比較,如果某項MAC地址沒有在已知設備MAC地址庫中,則將該MAC地址記錄到可疑設備MAC地址庫中。所述地址比較模塊202,還用於將所述FDB表或者ARP表中的設備MAC地址與已知設備MAC地址庫進行比較之前,從所述FDB表或者ARP表中的設備MAC 地址過濾出已知網絡設備供應商的設備MAC地址,將未知網絡設備供應商的設備MAC地址記錄到可疑設備MAC地址庫中;將過濾出的已知網絡設備供應商的設備MAC地址與已知設備MAC地址庫進行比較。本實施例中,已知設備MAC地址庫以及已知網絡設備供應商的設備MAC地址庫,需要預先在網管系統中添加,必要時在發現過程中由用戶逐步添加和完善。
權利要求
1.非法設備發現方法,包括以下步驟 a、選取種子設備,所述選取的種子設備開啟SNMP協議,並配置讀取數據的權限; b、通過SNMP協議訪問種子設備的MIB獲取種子設備的設備型號; C、根據種子設備的設備型號對種子設備進行判斷,如果具有交換功能,則執行步驟d,否則執行步驟e ; d、通過SNMP協議讀取種子設備的FDB表,將 所述FDB表中的設備MAC地址與已知設備MAC地址庫進行比較,如果某項MAC地址沒有在已知設備MAC地址庫中,則將該MAC地址記錄到可疑設備MAC地址庫中; e、根據種子設備的設備型號再對種子設備進行判斷,如果具有路由功能,則執行步驟f,否則返回步驟a; f、通過SNMP協議讀取種子設備的IP位址表;對該種子設備的直連網段的所有IP位址進行PING掃描;讀取種子設備的ARP表,將所述ARP表中的設備MAC地址與已知設備MAC地址庫進行比較,如果某項MAC地址沒有在已知設備MAC地址庫中,則將該MAC地址記錄到可疑設備MAC地址庫中;返回步驟a。
2.根據權利要求I所述的非法設備發現方法,其特徵在於,所述種子設備為匯聚設備或接入設備。
3.根據權利要求I所述的非法設備發現方法,其特徵在於,步驟f中,所述直連網段是根據種子設備的IP位址表中接口的IP位址和掩碼計算得到的。
4.根據權利要求I所述的非法設備發現方法,其特徵在於,步驟d具體包括通過SNMP協議讀取種子設備的FDB表,從所述FDB表中過濾出已知網絡設備供應商的設備MAC地址;將未知網絡設備供應商的設備MAC地址記錄到可疑設備MAC地址庫中;並將過濾出的設備MAC地址與已知設備MAC地址庫進行比較,如果某項MAC地址沒有在已知設備MAC地址庫中,則將該MAC地址記錄到可疑設備MAC地址庫中。
5.根據權利要求Γ4任意一項所述的非法設備發現方法,其特徵在於,步驟f中,將所述ARP表中的設備MAC地址與已知設備MAC地址庫進行比較,如果某項MAC地址沒有在已知設備MAC地址庫中,則將該MAC地址記錄到可疑設備MAC地址庫中,具體包括從所述ARP表中過濾出已知網絡設備供應商的設備MAC地址;將未知網絡設備供應商的設備MAC地址記錄到可疑設備MAC地址庫中;並將過濾出的設備MAC地址與已知設備MAC地址庫進行比較,如果某項MAC地址沒有在已知設備MAC地址庫中,則將該MAC地址記錄到可疑設備MAC地址庫中。
6.網管系統,其特徵在於,包括設備訪問模塊和地址比較模塊 所述設備訪問模塊,用於通過SNMP協議訪問選取的種子設備的MIB,獲取種子設備的設備型號,根據設備型號判斷種子設備是否是具有交換功能的設備,如是,則通過SNMP協議讀取種子設備的FDB表,並通知地址比較模塊;並根據設備型號判斷種子設備是否是具有路由功能的設備,如是,則通過SNMP協議讀取種子設備的IP位址表;對該種子設備的直連網段的所有IP位址進行PING掃描,讀取種子設備的ARP表,並通知地址比較模塊; 所述地址比較模塊,用於將所述FDB表或者ARP表中的設備MAC地址與已知設備MAC地址庫進行比較,如果某項MAC地址沒有在已知設備MAC地址庫中,則將該MAC地址記錄到可疑設備MAC地址庫中。
7.根據權利要求6所述的網管系統,其特徵在於,所述種子設備為匯聚設備或接入設備。
8.根據權利要求6所述的網管系統,其特徵在於,所述地址比較模塊,還用於將所述FDB表或者ARP表中的設備MAC地址與已知設備MAC地址庫進行比較之前,從所述FDB表或者ARP表中的設備MAC地址過濾出已知網絡設備供應商的設備MAC地址,將未知網絡設備供應商的設備MAC地址記錄到可疑設備MAC地址庫中;將過濾出的已知網絡設備供應商的設備MAC地址與已知設備MAC地址庫進行比較。
9.根據權利要求6所述的網管系統,其特徵在於,所述設備訪問模塊還用於根據種子設備的IP位址表中的接口 IP位址和掩碼計算直連網段。
10.根據權利要求6、任意一項權利要求所述的網管系統,其特徵在於,所述可疑設備 MAC地址庫中記錄有可疑設備MAC地址以及種子設備埠和/或種子設備IP位址。
全文摘要
本發明涉及網絡管理技術中的二層網絡發現技術。本發明針對現有技術對非法設備發現困難的缺點,公開了一種非法設備發現方法及其網管系統。本發明的非法設備發現方法,主要步驟包括在網絡中選擇種子設備,要求種子設備開啟SNMP協議,並配置讀取數據的權限;訪問種子設備的MIB,獲取種子設備的設備型號,判斷種子設備功能;對於不同功能的種子設備,通過SNMP協議讀取種子設備的轉發資料庫或地址轉換協議表;查詢表項中各項MAC地址,如果是未知網絡設備供應商的設備MAC地址或沒有在已知設備MAC地址庫中記錄的設備MAC地址,則將其記錄到可疑設備MAC地址庫中。本發明還公開了用於發現非法設備的網管系統。
文檔編號H04L29/12GK102970173SQ201210569938
公開日2013年3月13日 申請日期2012年12月25日 優先權日2012年12月25日
發明者吳飛, 羅秦, 黎澤良, 鄧霄博 申請人:邁普通信技術股份有限公司