網絡安全管理中拓撲發(fā)現方法研究

1、    網絡安全管理中拓撲發(fā)現方法研究    劉坤【摘 要】為了提高網絡拓撲發(fā)現的準確性，提出多層的拓撲發(fā)現方法。該方法從網絡層和數據鏈路層分別進行拓撲分析，先找出網絡的邏輯拓撲，然后在此基礎上將數據鏈路層的交換設備加入到邏輯拓撲結構中去，進而形成完整的網絡拓撲。通過該方法設計的原型系統(tǒng)驗證，其能夠無遺漏的發(fā)現數據鏈層交換機與其它設備的鏈接關系?！娟P鍵詞】拓撲發(fā)現；snmp；地址轉發(fā)表；端口信息表0.引言隨著網絡規(guī)模的不斷增大，網絡設備逐漸多樣化，其結構也呈現了復雜化的趨勢，要實現對網絡的有效管理，其前提是要了解網絡的狀態(tài)，通常網絡管理系統(tǒng)首先要實現網絡

2、的拓撲發(fā)現，在正確、完整的網絡拓撲基礎上可以通過snmp（簡單網絡管理協(xié)議）等網絡管理協(xié)議實現對網絡的有效管理，因此研究網絡拓撲發(fā)現對于計算機網絡的有效管理具有重要作用。當前的網絡拓撲發(fā)現主要集中在兩個層次上，即網絡層的拓撲發(fā)現以及數據鏈路層的拓撲發(fā)現。網絡層拓撲發(fā)現相對比較成熟，發(fā)現過程中一般不會出現設備和鏈路的遺漏，基于snmp協(xié)議的mib-2信息庫查詢是其主要方法，文獻1，2中采用該方法，這也是當前商業(yè)網絡管理軟件所廣泛采用的一種方法；數據鏈路層的拓撲發(fā)現機制主要用來發(fā)現網橋類設備，當前主要是用來發(fā)現交換機在網絡上的拓撲狀況，文獻3，4，5提出了基于地址轉發(fā)表（aft）的數據鏈路層拓撲發(fā)

3、現算法，但算法要求所有交換機的地址轉發(fā)表是完整的，如果地址轉發(fā)表不完整將會出現拓撲部分鏈路遺漏的情況。1.網絡層拓撲發(fā)現方法根據網絡結構的不同，網絡拓撲發(fā)現方法也有所區(qū)別，當前商業(yè)網絡管理軟件廣泛采用的拓撲發(fā)現機制是利用icmp配合snmp協(xié)議的綜合網絡拓撲發(fā)現方法，icmp協(xié)議可以發(fā)現網絡中存在的設備，snmp協(xié)議可以通過mib-2功能組讀取的方法獲得網絡中相關節(jié)點的重要控制信息，比如路由表，進而完成網絡拓撲發(fā)現的功能。以下對拓撲發(fā)現領域的常見方法進行總結。1.1 icmp協(xié)議發(fā)現設備icmp協(xié)議的設備發(fā)現類似ping命令完成的功能，icmp協(xié)議通過發(fā)送請求報文icmp_echo和應答報文i

4、cmp_echoreply可以達到判斷目標主機連接是否正常的目的。請求和應答報文是相互配合工作的。當源主機向目標主機發(fā)送了icmp_echo數據包后，它等候目標主機的應答，目標主機在收到一個icmp_echo數據包后，將交換源主機ip地址和目的主機ip地址后將收到的icmp_echo數據包中的數據部分原封不動地封裝在自己的icmp_echoreply數據包中，然后將該數據包反饋給發(fā)送icmp_echo數據報的主機。接收方收到icmp_echoreply數據包后進行校驗，如果校驗正確，發(fā)送主機認為目標主機連通正常，很顯然icmp是設備發(fā)現的一種高效方法？1.2 snmp協(xié)議發(fā)現設備間的連接關系在

5、大部分商業(yè)軟件中都通過snmp協(xié)議進行拓撲的發(fā)現，比如snmpc管理站軟件、hp openview等軟件。在snmp管理架構下，每一個被管理設備都關聯一個mib-2數據庫，其存儲著代理的網絡對象信息，管理站是通過對代理mib-2庫中相關對象的讀取和寫入來實現有效的網絡監(jiān)視和網絡控制功能。要實現拓撲發(fā)現，可以通過讀取mib-2中記錄拓撲信息的相關對象（比如路由表、接口表、地址表等）構建網絡拓撲結構，不但能發(fā)現設備的存在狀態(tài)，還能發(fā)現網絡層以上設備的互聯關系。1.3 arp協(xié)議發(fā)現局域網內部設備arp協(xié)議能夠在局域網中對ip地址和物理地址進行解析，依靠的是計算機維護的一張arp表，記錄了ip地址和

6、物理地址的對應關系。因為arp表中記錄的都是最近活動的主機ip地址和物理地址的對應關系，因此，能夠及時發(fā)現局域網的設備情況。但該發(fā)現設備的方法依賴局域網內部的arp表，所以應用范圍有限，一般僅僅作為網絡拓撲發(fā)現局域網的一個輔助方法使用。2.數據鏈路層的拓撲發(fā)現方法定理1：如果：sa（s1，i1）usa（s2，i2）=saii并且sa（s1，i1）sa（s2，i2）=?，則 if（s1，i1）和if（s2，i2）中間是直接相連接的關系。在定理1中，交換機s的第i號端口為if（s，i）；交換機s的地址轉發(fā)表中通過其i號端口if（s，i）數據幀的源物理地址的集合表示為sa（s1，i1）；子網中所有交

7、換機的集合為saii。證明：這里使用反證法，假如，if（s1，i1）和if（s2，i2）中間不是直接相連接的關系，則在if（s1，i1）和if（s2，i2）之間必然還存在其它設備m，假設該設備的物理地址為am，根據地址轉發(fā)表的生成規(guī)則可知：amsa（s1，i1）并且amsa（s2，i2），很顯然此時：sa（s1，i1）sa（s2，i2）=am，這與sa（s1，i1）sa（s2，i2）=?矛盾，因此可以判斷定理一成立。定理2：如果路由器r和交換機s之間直接互相連接，當且僅當其互聯端口if（s，i）沒有出現其它交換機的物理地址并且sa（s，i）中包含路由器r的物理地址。證明：首先進行充分性證明，如

8、果路由器r和交換機s之間直接互相連接，則路由器r的物理地址必然出現在sa（s，i），另外，因為路由器將子網阻隔，其它的交換機的物理地址不可能經過互聯端口if（s，i），得證。然后進行必要性證明，sa（s，i）中包含路由器r的物理地址說明路由器r位于端口if（s，i）的子網中，但if（s，i）端口所連接的子網中未出現其它交換機物理地址，因此路由器r和端口if（s，i）直接互聯，得證。要根據定理1和定理2判斷數據鏈路層的鏈接關系首先必須獲得交換機的地址端口表，也就是說，要對以太網中端口的物理地址進行統(tǒng)計，這可以通過交換機的地址轉發(fā)表獲取相關信息，并進一步得到網絡數據鏈路層的拓撲狀況。交換機mib對

9、應的標準是bridge-mib。在bridge-mib中定義了dot1dtpfdbaddress（oid：1.3.6.1.2.1.17.4.3.1.1）來存放地址交換機的地址轉發(fā)表，其對應的端口存放在端口信息表dot1dtpfdbport（oid：1.3.6.1.2.1.17.4.3.1.2）上。通過查詢dot1dtpfdbaddress和dot1dtpfdbport便可以找到發(fā)現交換機mac的端口。3.總結要對計算機網絡實現有效管理，首先必須知道網絡的拓撲情況，要發(fā)現網絡的拓撲可以從網絡層協(xié)議發(fā)現，也可以從數據鏈路層發(fā)現，網絡層能夠有效的發(fā)現網絡的邏輯拓撲，但不能發(fā)現數據鏈路層設備的鏈接關系，文中所采用的網絡拓撲發(fā)現方法綜合了網絡層和數據鏈路層的拓撲發(fā)現方法，能夠發(fā)現常見的三種拓撲關系：其一，網絡中路由器之間的鏈路關系；其二，網絡中路由器和交換機的連接關系；其三，網絡中交換機和交換機的鏈接關系。這三種關系基本包含了當前常見網絡的設備互聯關系?！緟⒖嘉墨I】1鄧澤林，張立芳，劉翌南，等.基于snmp協(xié)議的網絡拓撲發(fā)現算法j.長沙理工大學學報：自然科學版，2007，4（4）：68-72.2楊安義，朱華清，王繼龍.一種改進的基于 snmp 的網絡拓撲發(fā)現算法及實現j.計算機應用，2009，27（10）：2412-2419.3鄭海，張國清.物理網絡拓撲發(fā)現算法的研究j.