[发明专利]非法网络设备接入检测方法、装置、计算设备及存储介质

说明书

本发明实施例涉及通信网络技术领域，公开了一种非法网络设备接入检测方法、装置、计算设备及存储介质，该方法包括：从网络设备获取源数据对象标识符；根据所述源数据对象标识符生成网络连接关系；根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备。通过上述方式，本发明实施例能够实现网络区域内连接关系完整呈现，及时发现网络中的非法设备接入行为。

技术领域

本发明实施例涉及通信网络技术领域，具体涉及一种非法网络设备接入检测方法、装置、计算设备及存储介质。

背景技术

非法网络设备接入检测是指在数据中心网络管理过程中自动发现二层级联、边界网络、非授权等未纳入管理体系的行为，此过程涉及技术栈及网络域边界，在网络趋于云化的发展态势中，当前并无对应的一体化解决方案，此类数据的变更多为手工录入，在数据及时性、有效性、完整性上有诸多不足。

如图1所示，数据断层是指接入网络设备与服务器之间的二层级联网络，常见于统一计算服务器，如Cisco UCS、HP BladeSystem，其网络设备管理方式、功能私有化较严重，导致网络管理过程中很难形成可用数据，形成事实上的数据黑盒。网络区域边界一般采用三层口字型或交叉互联，通过发布静态或过滤动态路由的方式来实现网络互通。组网架构中由于对网络端天然未纳管，因此，只能在手工绘制的拓扑中呈现，运维过程中的异常排错对工程师经验强依赖。私接设备是指设备调测、误操作、恶意接入等行为，类似行为缺乏数据基础，只能依赖运维人员的经验、临场沟通等方式来进行问题定位，该过程耗费时间一般在30分钟以上。

发明内容

鉴于上述问题，本发明实施例提供了一种非法网络设备接入检测方法、装置、计算设备及存储介质，克服了上述问题或者至少部分地解决了上述问题。

根据本发明实施例的一个方面，提供了一种非法网络设备接入检测方法，所述方法包括：从网络设备获取源数据对象标识符；根据所述源数据对象标识符生成网络连接关系；根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备。

在一种可选的方式中，所述从网络设备拉取源数据对象标识符，包括：基于简单网络管理协议从网络设备周期性地拉取LLDP数据、下一跳路由数据以及MAC地址数据。

在一种可选的方式中，所述根据所述源数据对象标识符生成网络连接关系，包括：根据所述LLDP数据以及所述MAC地址数据生成二层网络连接关系；或者，根据所述LLDP数据、所述下一跳数据以及所述MAC地址数据生成三层网络连接关系。

在一种可选的方式中，所述根据所述LLDP数据以及所述MAC地址数据生成二层网络连接关系，包括：获取对端端口；获取本地端口和远端主机名；根据所述对端端口、所述本地端口以及所述远端主机名生成所述二层网络连接关系并保存。

在一种可选的方式中，所述根据所述LLDP数据、所述下一跳路由数据以及所述MAC地址数据生成三层网络连接关系，包括：根据所述下一跳路由数据获取网络地址和下一跳IP地址；根据所述网络地址获取端口名称；根据所述网络地址、所述下一跳IP地址以及所述端口名称生成所述三层网络连接关系并保存。

在一种可选的方式中，所述根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备，包括：判断与所述接入设备对应的所述二层网络连接关系是否合法，如果不合法，则所述接入设备为非法接入设备；或者，判断与所述接入设备对应的所述三层网络连接关系是否合法，如果不合法，则所述接入设备为非法接入设备；或者，判断所述接入设备的MAC地址是否在配置管理数据库中，如果不在，则所述接入设备为非法接入设备。

在一种可选的方式中，所述根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备之后，包括：对所述非法接入设备的非法接入行为进行分类，并标识网络连接关系；生成告警信息以进行告警。