一种构建终端拓扑的方法和装置的制作方法

文档序号:7662808阅读:207来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种构建终端拓扑的方法和装置的制作方法
技术领域
本发明涉及计算机网络技术领域,特别涉及一种构建终端拓朴的方法和 装置。
背景技术
计算机连接的方式叫做"网络拓朴结构"。网络拓朴是指用传输媒体互 连各种设备的物理布局,特别是计算机分布的位置以及电缆如何通过它们。 网络拓朴具有很强的直观性,在网络拓朴中,可以清楚地显示设备的物理连 接,并且通过不同的图案、不同的颜色来展现不同设备的属性信息。由于网 络拓朴显示的是物理设备,所以整个网络拓朴承载的是设备管理的相关业务,例如IP (InternetProtocol,因特网协议)拓朴图。IP拓朴图是系统根据IP^L 图中的子网和设备自动绘制的拓朴图,在IP拓朴图中显示出了各个子网和设备 之间的连接关系、链路状态、设备状态等网络结构和状态信息。IP视图用于显 示网络中的子网和设备,通过IP视图可以查看子网中的设备并对设备进行相关 的操作。二层拓朴图是系统根据子网中的设备自动绘制的拓朴图,在二层拓 朴图中显示出了各个设备之间的二层连接关系、链路状态、设备状态等网络 结构和状态信息。除此之外,拓朴图还会显示出与设备有连接关系的未知MAC (Media Access Control,介质访问控制)区域。同时,设备状态和链路状态 都会保持实时更新,方便用户观测当前的网络状况。 从上述拓朴图的描述中,可以看出(1) 现有的拓朴图都是从网络设备的角度去显示网络的拓朴结构,并没 有显示终端的接入用户;(2) 现有的拓朴图缺少对接入层业务和接入用户的管理,没有承载接入 用户管理的业务。即便是在拓朴图中显示PC (Personal Computer,个人电脑), 也仅仅是将PC作为设备来管理,没有聚焦于终端用户的管理;(3) 现有的拓朴图没有聚焦于业务,仅仅从物理网络出发,网络的节点 与业务没有关联;(4) 现有的拓朴图没有将网络设备的接入安全控制和用户的接入行为管 理结合,缺乏对用户终端的集中控制管理,不能够提高网络的主动抵抗能力。随着互联网的飞速发展,对网络的管理开始从对网络设备的管理向接入 层的终端用户延伸。互联网接入层是直接面向用户接入的接口,面临很多难 以想象的环境,并且接入层设备成本低,品种繁多,地点分散,不便管理, 出现问题影响的范围小,大量的重复性工作也容易导致对接入层安全管理工 作的忽视。随着网络接入用户数量的剧增以及日益严峻的安全威胁,现有的 基于设备管理的网络管理已经无法适应现有的网络状况。主要表现在(1) 对用户的安全状态一无所知,防御措施治标不治本;(2) 对来自局域网内部的威胁无法及时响应;(3 )无法对终端接入用户进行有效地接入控制;(4)无法对终端接入用户的网络使用行为进行管理。因此,现有技术的缺点是现有的拓朴图不能显示终端的接入用户,现 有的网络管理缺少对接入层业务和终端接入用户的管理,缺乏对用户终端的 集中控制管理,无法提高网络的主动抵抗能力。发明内容本发明实施例要解决的问题是提供一种构建终端拓朴的方法和装置,以 实现绘制以终端用户为起点的终端拓朴,并在该终端拓朴中对终端用户进行 状态监控。为达到上述目的,本发明实施例提供了一种构建终端拓朴的方法,用于 网络接入侧,其中所述网络包括接入服务器,多个终端用户以及至少一个连入交换机,包括以下步骤所述接入服务器获取所述终端用户的地址信息以 及状态信息;所述接入服务器根据上述信息和已存的所述接入交换机的地址 信息绘制包括所述接入交换机在内的终端拓朴,以向网络管理员展示。
绘制终端拓朴之后,还包括所述接入服务器通过所述终端拓朴对所述终端用户进行状态监控,当发现所述终端用户的状态不符合第 一安全策略时, 在所述终端拓朴上给出提示信息。还包括当发现所述终端用户的状态不符合第二安全策略时,所述接入服务 器在所述终端拓朴中强制所述终端用户下线。所述接入服务器在所述终端拓朴中强制所述终端用户下线包括所述接 入服务器通知所述接入交换机断开所述终端用户的网络连接。所述接入服务器在所述终端拓朴中强制所述终端用户下线还包括所述 接入服务器通知所述终端用户安装的客户端软件断开所述终端用户的网络连 接。所述接入服务器通过所述终端拓朴对所述终端用户进行状态监控之后, 还包括当发现所述终端用户的状态不符合第三安全策略时,所述接入服务 器将所述终端用户,以及与所述终端用户直接物理连接的接入设备信息和所 述接入交换机的地址信息发送给网管服务器,向所述网管服务器请求以所述 终端用户为起点的真实物理网络的拓朴信息,并根据所述网管服务器返回的 信息,绘制物理拓朴,以供网络管理员了解网络安全情况。所述网管服务器返回的信息具体包括所述网管服务器通过终端链路分信息以及所述接入交换机、所述终端用户和所述设备之间的连接信息。本发明实施例还提供了 一种接入服务器,用于向若干终端用户提供接入 认证服务,其中所述终端用户通过接入交换机与该接入服务器相连,包括 信息获取模块,用于获取终端用户的地址信息,状态信息以及所述终端用户 与所述接入交换机的连接信息;拓朴绘制模块,与所述信息获取模块连接, 用于根据所述信息获取模块获取的信息和已存的所述接入交换机的地址信息 绘制包括所述接入交换机在内的终端拓朴。所述接入服务器还包括状态监控模块,与所述拓朴绘制模块连接,用 于通过所述拓朴绘制^t块绘制的终端拓朴对所述终端用户进行状态监控。 所述接入服务器还包括提示模块,与所述状态监控模块连接,用于当 所述状态监控模块发现所述终端用户的状态不符合第一安全策略时,在所述 终端拓朴上给出提示信息。所述接入服务器还包括强制下线模块,与所述状态监控模块连接,用 于当所述状态监控模块发现所述终端用户的状态不符合第二安全策略时,在 所述终端拓朴中强制所述终端用户下线。所述接入服务器还包括信息发送模块,与所述状态监控模块连接,用 于当所述状态监控模块发现所述终端用户的状态不符合第三安全策略时,将 所述终端用户,以及与所述终端用户直接物理连接的接入设备信息和所述接 入交换机的地址信息发送给网管服务器,向所述网管服务器请求以所述终端 用户为起点的真实物理网络的拓朴信息;信息接收模块,用于接收所述网管 服务器发送的所述接入交换机和所述终端用户之间的物理链路上所有设备的 地址信息以及所述接入交换机、所述终端用户和所述设备之间的连接信息; 物理拓朴绘制模块,与所述信息接收模块连接,用于根据所述信息接收模块 接收的信息,绘制物理拓朴。与现有技术相比,本发明实施例具有以下优点接入服务器根据终端用 户的地址信息,状态信息以及终端用户与接入交换机的连接信息,和已存的 该接入交换机的地址信息绘制包括该接入交换机在内的终端拓朴,并4艮据该 终端拓朴对该终端用户的状态进行监控,从而可以快速定位出现问题的终端 用户,接入设备以及链路,提供了针对终端用户的全方位的管理。


图1为本发明实施例构建终端拓朴的方法的流程图; 图2为本发明实施例接入服务器的结构图。
具体实施方式
本发明实施例提供了一种构建终端拓朴的方法,接入服务器根据终端用 户的地址信息,状态信息以及终端用户与接入交换机的连接信息,和已存的 该接入交换机的地址信息绘制包括该接入交换机在内的终端拓朴,并根据该 终端拓朴对该终端用户的状态进行监控,在发现终端用户的状态异常时,接 入服务器可以在终端拓朴中给出提示信息,强制该终端用户下线或向网管服 务器请求以该终端用户为起点的真实物理网络的拓朴信息,并根据网管服务 器返回的信息,绘制更加真实、详细的物理拓朴,使网络管理员可以清楚地 了解网络的安全情况,从而可以快速定位出现问题的终端用户,接入交换机 或设备,更加聚焦于终端用户和终端用户的接入业务,提供了针对终端用户 的全方位的管理。如图l所示,为本发明实施例构建终端拓朴的方法的流程图,本发明实施 例提出的构建终端拓朴的方法用于网络接入侧,其中该网络包括接入服务器, 多个终端用户以及至少一个连接该接入服务器和终端用户并为该终端用户提供认证转发服务的接入交换机,具体包括以下步骤步骤S101,接入服务器获取终端用户的地址信息以及状态信息。终端用 户通过终端用户安装的客户端软件上线,客户端软件将该终端用户的地址信 息、状态信息上报接入服务器,在接入服务器认证通过后接入网络。这时, 接入服务器将策略服务器的地址下发给终端用户,终端用户通过客户端软件 向策略服务器上报该终端用户与接入交换机的连接信息,然后策略服务器将 该终端用户与接入交换机的连接信息发送给接入服务器。该终端用户的地址 信息包括终端用户的IP地址和MAC地址,该终端用户的状态信息包括安全 状态信息和流量状态信息,该终端用户与接入交换机的连接信息包括与该终 端用户直接连接的接入交换机的IP地址和接入端口信息。步骤S102,接入服务器根据获取的信息和已存的接入交换机的地址信息 绘制包括该接入交换机在内的终端拓朴,以向网络管理员展示该终端用户的 各种信息。该终端用户的各种信息包括该终端用户的地址信息和状态信息等。 终端链路的起点为终端用户,终点为接入交换机。在实际的网络环境中终端换机上。接入服务器根据获取的终端用户的地址信息,状态信息以及该终端 用户与接入交换机的连接信息和已存的接入交换机的地址信息,绘制包括该 接入交换机在内的终端拓朴。并在该终端拓朴中通过颜色或图案的变化显示 该终端用户的各种信息,包括终端用户的在线数量,终端用户的在线状态、 安全状态和流量状态等。步骤S103,接入服务器根据终端拓朴对终端用户进行状态监控。由于终 端拓朴与系统的接入管理业务相联动,因此接入服务器可以通过终端拓朴根 据策略服务器下发的安全策略对终端用户进行状态监控。该安全策略至少包 括第一安全策略、第二安全策略和第三安全策略。该安全策略对终端用户 的安全状态、流量状态和在线状态等进行了限定,例如在一段时间内,如 果终端用户的流量超过某设定值,则认为该终端用户的流量状态异常。对终端用户进行状态监控主要是监控终端用户的在线状态、安全状态和 流量异常状态等。监控终端用户的在线状态用于确认该终端用户是否在线,用户的流量异常状态用于监控终端用户的流量是否超过阈值。该安全状态包 括安全状态,不安全状态,未知安全状态等;该流量状态包括流量正常状 态和流量异常状态。在终端拓朴中,通过终端用户节点和链路的颜色或者图 案的变化可以清楚地表示终端用户是否在线、终端用户的状态是否安全和终 端用户的流量是否异常。因此,接入服务器就可以通过终端拓朴实时地对终 端用户的状态进行监控,当发现该终端用户的状态不符合第 一安全策略时, 在终端拓朴上给出提示信息;当发现该终端用户的状态不符合第二安全策略 时,在终端拓朴中强制该终端用户下线,可以通知接入交换机断开该终端用 户的网络连接,也可以通知该终端用户安装的客户端软件断开该终端用户的 网络连接。例如当接入服务器需要在终端拓朴中强制该终端用户下线时, 接入服务器可以在终端拓朴中右键单击该终端用户的相应图标,在弹出的菜 单中选择强制下线,这时由于策略服务器与接入服务器是联动的,因此策略 服务器马上就会得知接入服务器需要对该终端用户或设备进行强制下线的操 作。然后,策略服务器会向与该终端用户连接的接入服务器发送报文或消息, 由该接入服务器断开上述终端用户的网络连接;或者,策略服务器直接向该 终端用户安装的客户端软件发送报文或消息,由该客户端软件断开该终端用 户的网络连接。当发现该终端用户的状态不符合第三安全策略时,该接入服务器将终端 用户,以及与该终端用户直接物理连接的接入设备信息和接入交换机的地址 信息发送给网管服务器,向该网管服务器请求以所述终端用户为起点的真实 物理网络的拓朴信息。网管服务器在接收到接入服务器发送的信息,即链路的起点和终点的信息之后,网管服务器通过SNMP (Simple Network Management Protocol,简单网络管理协议)协议查询设备MAC地址表、设备 4妄口表、ARP (Address Resolution Protocol,地址解析协议)表、;洛由表、邻 居拓朴协议等来计算在链路的起点和终点之间的所有设备,从而得出该接入 交换机和该终端用户之间的物理链路上所有设备的地址信息以及接入交换 机、终端用户和设备之间的连接信息,并向接入服务器返回上述信息。然后, 接入服务器根据网管服务器返回的信息,绘制更加真实、详细的物理拓朴, 以供网络管理员了解网络安全情况,使网络管理员可以准确地发现出现问题 的终端用户、接入交换机或设备,并对其作相应处理。上述终端拓朴的方法,接入服务器根据终端用户的地址信息,状态信息 以及该终端用户与接入交换机的连接信息和已存的接入交换机的地址信息绘 制终端拓朴,并根据该终端拓朴对终端用户的状态进行监控,从而在发现终 端用户的状态异常时,接入服务器可以快速定位出现问题的终端用户,接入 交换才几或链路,及时地对出现问题的终端用户或设备进行处理,保i正了网络 的安全。如图2所示,为本发明实施例接入服务器的结构图,该接入服务器用于 向若干终端用户提供接入认证服务,其中终端用户通过接入交换机与该接入 服务器相连。该接入服务器包括信息获取模块1,用于获取终端用户的地址信 息,状态信息以及该终端用户与接入交换机的连接信息;拓朴绘制模块2,与 信息获取模块1连接,用于根据信息获^^莫块1获取的信息和已存的接入交 换机的地址信息绘制包括接入交换机在内的终端拓朴。其中,该接入服务器还包括状态监控模块3,与拓朴绘制模块2连接,
用于通过拓朴绘制模块2绘制的终端拓朴对终端用户进行状态监控。其中,该接入服务器还包括提示模块4,与状态监控模块3连接,用于 当状态监控模块3发现该终端用户的状态不符合第一安全策略时,在终端拓 朴上给出提示信息。其中,该接入服务器还包括强制下线模块5,与状态监控模块3连接, 用于当状态监控模块3发现该终端用户的状态不符合第二安全策略时,在终 端拓朴中强制该终端用户下线。其中,该接入服务器还包括信息发送模块6,与状态监控模块3连接, 用于当状态监控模块3发现该终端用户的状态不符合第三安全策略时,将该 终端用户,以及与该终端用户直接物理连接的接入设备信息和接入交换机的 地址信息发送给网管服务器,向网管服务器请求以该终端用户为起点的真实 物理网络的拓朴信息;信息接收模块7,用于接收网管服务器发送的接入交换机和终端用户之间 的物理链路上所有设备的地址信息以及所述接入交换机、所述终端用户和所 述设备之间的连接信息;物理拓朴绘制模块8,与信息接收模块7连接,用于根据信息接收模块7 接收的信息,绘制物理拓朴。上述接入服务器,根据终端用户的地址信息以及状态信息,和已存的接 入交换机的地址信息绘制终端拓朴,并根据该终端拓朴对终端用户的状态进 行监控,从而在发现终端用户的状态异常时,可以及时地对出现问题的终端 用户、接入交换机或设备进行处理,保证了网络的安全。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发 明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件, 但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案 本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来, 该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算 机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实
施例所述的方法。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此, 任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1、 一种构建终端拓朴的方法,用于网络接入侧,其中所述网络包括4矣入 服务器,多个终端用户以及至少一个连接所述接入服务器和所述终端用户并 为所述终端用户提供认证转发服务的接入交换机,其特征在于,包括以下步骤所述接入服务器获取所述终端用户的地址信息以及状态信息; 所述接入服务器根据上述信息和已存的所述接入交换机的地址信息绘制 包括所述接入交换机在内的终端拓朴,以向网络管理员展示。
2、 如权利要求1所述构建终端拓朴的方法,其特征在于,绘制终端拓朴 之后,还包括所述接入服务器通过所述终端拓朴对所述终端用户进行状态 监控,当发现所述终端用户的状态不符合第一安全策略时,在所述终端拓朴 上给出提示信息。
3、 如权利要求2所述构建终端拓朴的方法,其特征在于,所述接入服务 器通过所述终端拓朴对所述终端用户进行状态监控之后,还包括当发现所 述终端用户的状态不符合第二安全策略时,所述接入服务器在所述终端拓朴 中强制所述终端用户下线。
4、 如权利要求3所述构建终端拓朴的方法,其特征在于,所述接入服务 器在所述终端拓朴中强制所述终端用户下线包括所述接入服务器通知所述 接入交换机断开所述终端用户的网络连接。
5、 如权利要求3所述构建终端拓朴的方法,其特征在于,所述接入服务 器在所述终端拓朴中强制所述终端用户下线还包括所述接入服务器通知所 述终端用户安装的客户端软件断开所述终端用户的网络连接。
6、 如权利要求2所述构建终端拓朴的方法,其特征在于,所述接入服务 器通过所述终端拓朴对所述终端用户进行状态监控之后,还包括当发现所 述终端用户的状态不符合第三安全策略时,所述接入服务器将所述终端用户, 以及与所述终端用户直接物理连接的接入设备信息和所述接入交换机的地址 信息发送给网管服务器,向所述网管服务器请求以所述终端用户为起点的真 实物理网络的拓朴信息,并根据所述网管服务器返回的信息,绘制物理拓朴, 以供网络管理员了解网络安全情况。
7、 如权利要求6所述构建终端拓朴的方法,其特征在于,所述网管服务 器返回的信息具体包括所述网管服务器通过终端链路分析得出的所述接入 交换机和所述终端用户之间的物理链路上所有设备的地址信息以及所述接入 交换机、所述终端用户和所述设备之间的连接信息。
8、 一种接入服务器,用于向若干终端用户提供接入认证服务,其中所述 终端用户通过接入交换机与该接入服务器相连,其特征在于,包括信息获取模块,用于获取终端用户的地址信息,状态信息以及所述终端 用户与所述接入交换机的连接信息;拓朴绘制模块,与所述信息获取模块连接,用于根据所述信息获取模块 获取的信息和已存的所述接入交换机的地址信息绘制包括所述接入交换机在 内的终端拓朴。
9、 如权利要求8所述接入服务器,其特征在于,还包括状态监控模块, 与所述拓朴绘制模块连接,用于通过所述拓朴绘制模块绘制的终端拓朴对所 述终端用户进行状态监控。
10、 如权利要求9所述接入服务器,其特征在于,还包括提示模块, 与所述状态监控模块连接,用于当所述状态监控模块发现所述终端用户的状 态不符合第一安全策略时,在所述终端拓朴上给出提示信息。
11、 如权利要求9所述接入服务器,其特征在于,还包括强制下线模 块,与所述状态监控模块连接,用于当所述状态监控模块发现所述终端用户 的状态不符合第二安全策略时,在所述终端拓朴中强制所述终端用户下线。
12、 如权利要求9所述接入服务器,其特征在于,还包括 信息发送模块,与所述状态监控模块连接,用于当所述状态监控模块发现所述终端用户的状态不符合第三安全策略时,将所述终端用户,以及与所 述终端用户直接物理连接的接入设备信息和所述接入交换机的地址信息发送 给网管服务器,向所述网管服务器请求以所述终端用户为起点的真实物理网 络的拓朴信息;信息接收模块,用于接收所述网管服务器发送的所述接入交换机和所述 终端用户之间的物理链路上所有设备的地址信息以及所述接入交换机、所述 终端用户和所述设备之间的连接信息;物理拓朴绘制模块,与所述信息接收模块连接,用于根据所述信息接收 模块接收的信息,绘制物理拓朴。
全文摘要
本发明公开了一种构建终端拓扑的方法,用于网络接入侧,其中所述网络包括接入服务器,多个终端用户以及至少一个连接所述接入服务器和所述终端用户并为所述终端用户提供认证转发服务的接入交换机,包括以下步骤所述接入服务器获取所述终端用户的地址信息以及状态信息;所述接入服务器根据上述信息和已存的所述接入交换机的地址信息绘制包括所述接入交换机在内的终端拓扑,以向网络管理员展示。通过本发明实施例,接入服务器通过终端拓扑对终端用户进行状态监控,通过终端链路分析可以快速定位出现问题的终端用户、接入交换机或设备,提供了针对终端用户全方位的管理。
文档编号H04L12/56GK101146044SQ200710163399
公开日2008年3月19日 申请日期2007年10月24日 优先权日2007年10月24日
发明者安 刘, 刘云峰, 郑雄开 申请人:杭州华三通信技术有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:刘云峰;刘安;郑雄开
  • 技术所有人:杭州华三通信技术有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
构建校园网网络拓扑图相关技术
wj301h双向终端装置相关技术
电力负荷管理终端装置相关技术
wj301双向终端装置相关技术
负荷终端漏电保护装置相关技术
终端装置相关技术
负控终端装置相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2