【摘 要】 在内部网络管理系统中,都需要对网络结构、终端及网络设备运行状态进行实时监测及控制,以便及时发现并处理异常,比如对非法接入内网行为的发现,特别是对一些涉密机构来说,上述异常行为的发现及控制显得尤为重要。选取网管系统中的拓扑结构发现部分来进行分析,通过对其原理及实现过程的研究,阐述了该部分在网管系统中的重要性。
【关键词】 网络结构;异常行为;拓扑结构发现
中图分类号:TP39文献标识码:A文章编号:1006-0278(2012)03-121-01
网络拓扑结构扫描程序通过启动多个扫描线程遍历整个网络,通过SNMP协议扫描获取网络设备、网络终端及其相互之间的连接关系等基本信息来对整个网络及各个设备进行数据采集。在扫描的过程中,程序尽可能准确地辨识目标的类型及身份,适时启动网络层扫描和链路层扫描,对设备的类型及身份进行识别以判断网络接入边界所在,当扫描完成后,整个网络的拓扑结构信息便被获取。
一、SNMP代理与陷阱
SNMP代理服务是安装在被管理设备上方便管理的网络管理协议软件(如开源的NET-SNMP)。安装有SNMP代理的设备,如主机,交换机,路由器等,都可以接收并反馈来自管理工作站的命令信息,这样管理工作站就可对网络设备及终端进行监测及控制。
SNMP代理服务基本过程:网络管理工作站将请求发送给装有SNMP代理服务的设备或终端,同时接受并分析返回的相应数据,这些数据包括设备或终端的工作状态与其物理地址等信息。管理站通过PDU查询MIB(管理信息库)对象的OID值来实现网络监测,同时通过设置或改变MIB对象的值来实现网络的控制功能。
SNMP 陷阱(SNMP trap)为某种入口,到达该入口会使SNMP被管设备及主机主动通知SNMP管理站,而不是等待SNMP管理站的再次轮询,比如对终端用户网线插拔信息的获取,该陷阱信息会自动上报。
下图为SNMP陷阱流程基本示意图:
安装有SNMP代理服务的PC1主机上报服务器其IP地址、MAC地址等信息,因其通信过程中将经由交换机S1(支持SNMP)到达服务器,此时S1也会将其管理IP地址、端口信息等上报服务器,服务器收到终端及设备Trap信息后即进行存储,同时服务器也可对异常信息进行相应处理。
二、设备与主机的识别
设备类型的推断主要通过SNMP中MIB-II的sysObjectID和sysServices。
sysObjectID 表示设备生产产家的授权标识,该标识唯一地代表了一个生产企业。sysServices能够判断网络设备所能提供的服务,其值代表了机器主要提供服务的合集。该值起始为0,对于每一层L(1≤L≤7),如果设备提供该层的服务,则值加上。例如,H3C S7503E的sysServices的值为78,表示提供了第2,3,4和7层的服务,即表示该设备主要提供路由,IP交换及应用上的功能。还有一些特殊的类型判断方法,如,检查ipForwarding的值,如果为1则说明目标设备支持IP转发,是三层设备;检查dot1dFdbTable表,如果不为空,则是普通的二层交换机。
主机信息的采集主要通过在终端启动SNMP代理服务(如NET-SNMP)来获取。在SNMP方法失效后,可通过指纹技术对类型进行判定,如果识别出其操作系统为家用系统,如Windows等,便可以认定其为终端。
三、SNMP扫描
管理系统可使用多线程扫描,以一定的扫描周期对网络结构以核心层、汇聚层、接入的顺序依次进行扫描,扫描起始地址为核心交换机地址,如有多个则同时启用多个地址列表,直至得到网络终端主机信息为止。
通过进行的一级拓扑与二级拓扑扫描,扫描程序及时获取网络节点相关数据,并且将数据存入服务器的数据库当中,数据库通过分析生成树形结构,系统前台程序通过对该树形结构的调用即可展示整个网络拓扑结构。
四、结论
管理站点通过定期对装有SNMP代理服务的网络设备及终端发送请求命令并得到网络相应节点的反馈或者在没有管理端请求的情况下节点自动上报陷阱信息来获取设备及终端的信息,之后管理服务器通过对存储在数据库中的所获信息进行分析,进而得到整个网络的拓扑结构。服务器通过对网络结构周期性的扫描、比对,管理站可及时发现异常并采取有效措施进行安全控制,这些操作对网络的安全管理具有重要意义。
参考文献:
[1]洪正君.网络拓扑与终端接入状态监测系统研究.长安大学.2011.
[2]自英彩等.计算机同络管理系统设计与应用[M].北京:清华大学出版社,1998.
[3]邢国光等译.简单网络管理协议的理论与实践[M].国防工业出版社,1991.