張可 田嗥 馬恩寧 楊凱江

摘要：本文從方案選擇、遇到的關(guān)鍵技術(shù)、軟件架構(gòu)與功能設(shè)計闡述了網(wǎng)絡(luò)拓撲自動排查軟件的設(shè)計思路，最后，結(jié)合變電站網(wǎng)絡(luò)拓撲實地應(yīng)用效果，分析給出軟件的優(yōu)點與尚待提升的建議。

關(guān)鍵詞：網(wǎng)絡(luò)拓撲;自動排查;軟件開發(fā)

1 背景

網(wǎng)絡(luò)拓撲的定期排查對于運維工作來說，能起到很好的輔助作用。在日常進行網(wǎng)絡(luò)故障分析與排除時，精確全面的網(wǎng)絡(luò)拓撲結(jié)構(gòu)可以很好地提升效率。另外，做好網(wǎng)絡(luò)拓撲排查也能處理人員更換帶來的資產(chǎn)臺賬不清問題，在幫助管理人員發(fā)現(xiàn)并熟悉了解網(wǎng)絡(luò)IP設(shè)備情況與組成。

目前，電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)運維管理中的拓撲主要采用人工或者半自動方式進行，依據(jù)自動采集加人工進一步維護方式，形成網(wǎng)絡(luò)拓撲結(jié)構(gòu)。在實際運行過程中存在以下不足：

（1）拓撲維護及時性難以保障。隨著新建變電站的投運、網(wǎng)絡(luò)的局部改造及部門的調(diào)整，網(wǎng)絡(luò)節(jié)點設(shè)備及通信線路也在不斷變化，對應(yīng)的網(wǎng)絡(luò)拓撲需要運維人員及時完善調(diào)整;同時要求網(wǎng)絡(luò)運維人員具有較高的專業(yè)知識以避免錯誤的拓撲維護，對拓撲完整性維護不及時，會影響網(wǎng)絡(luò)運維工作，甚至誘發(fā)網(wǎng)絡(luò)安全事件。

（2）拓撲不精確影響故障定位。當網(wǎng)絡(luò)發(fā)生故障時，運維人員根據(jù)上報的故障信息并依據(jù)人工經(jīng)驗，采用登錄交換機的方式，對網(wǎng)絡(luò)故障進行逐步排查，不斷縮小故障范圍，得到可能的故障原因后，再去現(xiàn)場進行故障排查。由于整個電力數(shù)據(jù)網(wǎng)絡(luò)龐大，整個故障排查過程耗時耗力，不能快速定位故障隱患，給電力安全生產(chǎn)帶來了一定的風險[1]。

（3）資產(chǎn)臺賬系統(tǒng)版本內(nèi)核信息登記不詳細。電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)的臺賬管理都主要依托人工進行，弊端十分明顯，工控類設(shè)備多，對于設(shè)備具體系統(tǒng)與內(nèi)核信息、相互關(guān)系都沒有較為詳細的登記，容易產(chǎn)生錯漏和反復(fù)核對，給等保、漏掃等工作帶來了額外負擔，一直以來缺乏一個較好的辦法。

2 方案選擇

網(wǎng)絡(luò)拓撲自動排查，一般指計算機主動發(fā)現(xiàn)完成最終用戶服務(wù)所涉及到的所有實體，不僅要發(fā)現(xiàn)實體，而且要發(fā)現(xiàn)實體在網(wǎng)絡(luò)中所起的作用及實體間相互連接的方式。目前，主要的網(wǎng)絡(luò)拓撲發(fā)現(xiàn)方式包括數(shù)據(jù)包探測拓撲發(fā)現(xiàn)與基于SNMP協(xié)議的拓撲發(fā)現(xiàn)等兩種主要技術(shù)。

在數(shù)據(jù)包探測發(fā)現(xiàn)網(wǎng)絡(luò)拓撲的技術(shù)方案中，可以通過ARP、DNS、ICMP等協(xié)議進行數(shù)據(jù)發(fā)送與回收，對響應(yīng)信息探測分析，比如通過ICMP反饋數(shù)據(jù)，可分析設(shè)備的可達性，配合Traceroute測量發(fā)現(xiàn)路由及其經(jīng)過的節(jié)點設(shè)備。特點是適用性好，便于操作，缺點是較為緩慢，對網(wǎng)絡(luò)造成一定的開銷。

基于SNMP協(xié)議的拓撲發(fā)現(xiàn)方案，主要是從網(wǎng)絡(luò)設(shè)備SNMP簡單網(wǎng)絡(luò)管理協(xié)議的端口服務(wù)中，獲取MIB變量信息，從而計算出網(wǎng)絡(luò)的二層或者三層拓撲連接關(guān)系。該方案的優(yōu)點是響應(yīng)快速，適合監(jiān)控類場景，缺點是設(shè)備需要開放權(quán)限，并且需要打開SNMP服務(wù)[4]。

近年來，國內(nèi)外網(wǎng)絡(luò)安全事件頻發(fā)，電網(wǎng)公司作為特大型能源國有企業(yè)，安全要求不斷提升，很多設(shè)備都不能遠端直接通過SNMP協(xié)議進行管理。網(wǎng)絡(luò)拓撲排查本身屬于隨機性較強的工作，目的是排查而非監(jiān)控，相對SNMP分鐘級的采集分析，消耗多一些時間是可以接受的，如果采用SNMP方案，現(xiàn)場設(shè)備卻沒有開啟相關(guān)權(quán)限和服務(wù)，必然增加較多的工作審批流程，反而制約需要拓撲排查工作的效率。

3 關(guān)鍵技術(shù)

3.1 網(wǎng)絡(luò)深度掃描及主動探測技術(shù)

基于深度掃描及網(wǎng)絡(luò)探測技術(shù)，能全面發(fā)現(xiàn)系統(tǒng)所有信息設(shè)備的IP網(wǎng)絡(luò)連接情況，特別是主機多余網(wǎng)卡連接情況、未知主機或網(wǎng)絡(luò)設(shè)備連接情況，有效發(fā)現(xiàn)系統(tǒng)跨區(qū)互連、非法外聯(lián)、非法內(nèi)聯(lián)的信息安全風險;從網(wǎng)絡(luò)資產(chǎn)管理的角度看，網(wǎng)絡(luò)探測技術(shù)能夠為統(tǒng)一軟硬件版本、更新升級軟件和設(shè)備等工作提供信息基礎(chǔ);還可以發(fā)現(xiàn)非法資產(chǎn)，為及時分析、處理提供便利，最大限度地降低安全問題帶來的損失。

3.2 基于TCP/IP協(xié)議棧探測技術(shù)快速探知IP設(shè)備

協(xié)議棧指紋識別是一項強大的技術(shù)，能夠以很高的概率迅速確定操作系統(tǒng)的版本。雖然TCP/IP協(xié)議棧的定義已經(jīng)成為一項標準，但是各個廠家，如微軟、RedHat等在編寫自己的TCP/IP協(xié)議棧時，卻做出了不同的解釋。這些解釋因具有獨一無二的特性，故被稱為“指紋”[3]。通過這些細微的差別，可以準確定位操作系統(tǒng)的版本。

3.3 網(wǎng)絡(luò)拓撲分析合并與生成技術(shù)

以網(wǎng)絡(luò)安全設(shè)備為邊界，構(gòu)建直觀的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)拓撲圖，從全局上可以幫助運維人員實時掌握整體網(wǎng)絡(luò)運行狀況，將最復(fù)雜的網(wǎng)絡(luò)狀況以最簡明、直觀的方式呈現(xiàn)。

同時，通過構(gòu)建真實的業(yè)務(wù)應(yīng)用拓撲連接關(guān)系.當業(yè)務(wù)出現(xiàn)故障時，通過業(yè)務(wù)拓撲圖非常容易的找到業(yè)務(wù)組件的故障點，實現(xiàn)完整監(jiān)控，快速定位故障的效果。

4 軟件架構(gòu)

考慮到網(wǎng)絡(luò)拓撲排查的應(yīng)用場景及需求，軟件架構(gòu)選擇基于SpringBoot框架進行開發(fā)。Spring框架一般用于企業(yè)級Java開發(fā)，本身開源、并且具有控制反轉(zhuǎn)的特性。Spring框架可以通過面向切面編程和依賴注入，用POJO（ Plain Old Java Object，簡單的Java對象）實現(xiàn)EJB的大部分功能，有著功能齊全且入門迅速的特點。網(wǎng)絡(luò)拓撲排查工具的設(shè)計，主要包括如下幾個層次，如圖1所示。

采用的Spring的MVC框架結(jié)構(gòu)很多優(yōu)點，例如：簡化開發(fā)流程、支持事務(wù)聲明等，在網(wǎng)絡(luò)拓撲管理類中應(yīng)用此框架，特別要說明的優(yōu)點如下：

（1）簡化運行漏洞少：采用Jar包（通過Java -jar xxxx.jar的方式來運行），不僅部署簡單，內(nèi)置了三種S ervlet容器Jetty、Tomcat、undertow，打包的過程去除了很多不必要的軟件包，使得安全漏洞少，對于掛網(wǎng)運行的拓撲排查類軟件，可降低被攻擊風險。

（2）部署靈活多樣：目前SpringBoot可以很好的處理C/S和B/S兩種架構(gòu)，通過Electron技術(shù)，可以開發(fā)客戶端程序，從而使拓撲排查的模塊可以專注非展示性功能研發(fā)，減少兩種部署架構(gòu)切換需要大量修改前端的弊端。

（3）平臺無關(guān)性：很多系統(tǒng)都需要選擇平臺，尤其使LINUX內(nèi)核的系統(tǒng)適配十分困難。采用SpringBoot框架，得益于Java語言的優(yōu)勢，

該框架的數(shù)據(jù)操作層采用了MyB atis框架，MyBatis是一款持久層開發(fā)框架，易與SpringBoot組合進行開發(fā)，它不僅可以支持定制化SQL、存儲過程等基本功能，還支持一些高級映射，比如允許用戶跳過為了保障SQL注入等數(shù)據(jù)操作漏洞而必要的復(fù)雜的JDBC代碼和參數(shù)設(shè)置直接對數(shù)據(jù)庫進行“增刪改查”等操作‘5]。MyBatis功能強大，但卻有著配置簡單、易上手、無第三方依賴等優(yōu)勢，只需要配置幾個Jar文件即可完成配置。其中，SQL映射文件是最重要和常用的文件之一，它簡單易學(xué)，通過文檔和源代碼即可了解掌握SQL映射文件的設(shè)計思路和實現(xiàn)過程，另外也不會對現(xiàn)有的數(shù)據(jù)庫設(shè)計產(chǎn)生影響。其SQL語句以XML格式進行存儲，便于管理和優(yōu)化，同時SQL語句可以實現(xiàn)操作數(shù)據(jù)庫的所有需求。SQL映射文件通過DAO層，將數(shù)據(jù)訪問邏輯和業(yè)務(wù)邏輯分離開來.讓系統(tǒng)的設(shè)計邏輯更加清晰明了，這樣方便了系統(tǒng)后續(xù)的維護和單元測試[6]。

5 功能設(shè)計

結(jié)合網(wǎng)絡(luò)拓撲排查的應(yīng)用需求，設(shè)計了如下功能：資產(chǎn)導(dǎo)入及設(shè)備分類模塊、配置獲取及自動解析模塊、分區(qū)網(wǎng)絡(luò)邊界界定模塊、設(shè)備存活性掃描模塊、設(shè)備登錄核實模塊、設(shè)備外聯(lián)情況測試模塊、信息匯總及報告生成模塊。如圖2所示。

（1）資產(chǎn)導(dǎo)入及設(shè)備分類模塊：用戶需以特定的格式編輯好相應(yīng)的設(shè)備資產(chǎn)信息并存儲在Excel文件中，通過操作此模塊選中相應(yīng)的Excel文件并上傳，工具內(nèi)部的算法會自動解析文件并通過POI技術(shù)將Excel文件中的數(shù)據(jù)讀取并在短時間內(nèi)存儲到數(shù)據(jù)庫中，從而實現(xiàn)資產(chǎn)的導(dǎo)入功能。根據(jù)導(dǎo)入的資產(chǎn)信息對系統(tǒng)內(nèi)的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備及主機進行分類。

（2）配置獲取及自動解析模塊：用戶可以通過用戶名和口令登錄指定設(shè)備，通過此工具自動進行設(shè)備的配置獲取和解析操作，代碼中通過pmg指令可以獲取設(shè)備的名稱、IP、網(wǎng)段以及連接信息，arp指令可以獲取相應(yīng)設(shè)備的mac地址，route PRINT指令獲取路由表等信息，獲取到的數(shù)據(jù)存儲在數(shù)據(jù)庫中，方便獲取和展示。

（3）邊界網(wǎng)絡(luò)邊界界定模塊：對不同分區(qū)網(wǎng)絡(luò)的邊界設(shè)備，比如防火墻、隔離裝置等進行識別。

（4）設(shè)備存活性掃描模塊：該功能模塊以本機出發(fā)，輸入需要掃描的網(wǎng)段或者本機的IP地址，點擊檢測即可掃描網(wǎng)段中所有的IP并檢測其是否存活。大致原理為通過本機發(fā)送ICMP包ping網(wǎng)段中除本機外的所有IP，再利用網(wǎng)內(nèi)機器IP資源地址的唯一性，向目標IP發(fā)送探測數(shù)據(jù)包，并且要求對方返回一個同樣大小的數(shù)據(jù)包，以此，來確定兩臺網(wǎng)絡(luò)機器是否連接相通，傳輸過程中的時延是多少，記錄下所有連接相通的IP地址。之后，使用ARP指令，用于查詢本機ARP緩存中IP地址和MAC地址的對應(yīng)關(guān)系，使用tracert指令執(zhí)行所有能pmg通的IP地址，根據(jù)得到的信息可以獲取IP之間的連接情況和層級關(guān)系。

（5）設(shè)備外聯(lián)情況測試模塊：該功能模塊包括互聯(lián)網(wǎng)連通測試子模塊、設(shè)備網(wǎng)絡(luò)接口測試子模塊、設(shè)備網(wǎng)段掃描子模塊、設(shè)備網(wǎng)段設(shè)備登錄核實及外聯(lián)情況測試子模塊。其中，互聯(lián)網(wǎng)連通測試子模塊即對該設(shè)備是否連接外部網(wǎng)絡(luò)（百度、淘寶等需要連接互聯(lián)網(wǎng)才能訪問的國內(nèi)外網(wǎng)站）進行檢測，一旦檢測出有連接外網(wǎng)情況，立即警告并展示檢測結(jié)果;設(shè)備網(wǎng)絡(luò)接口測試子模塊針對的是設(shè)備新發(fā)現(xiàn)網(wǎng)段并對其進行掃描設(shè)備操作，掃描出外聯(lián)設(shè)備同樣立即警告并展示檢測結(jié)果;設(shè)備網(wǎng)段掃描子模塊是對路由交換設(shè)備內(nèi)網(wǎng)段的IP設(shè)備進行掃描，獲取其活動狀態(tài)，并進行展示;設(shè)備網(wǎng)段設(shè)備登錄核實是對路由交換設(shè)備網(wǎng)段內(nèi)的IP設(shè)備進行賬號登錄核實，對不能登錄的設(shè)備進行告知;外聯(lián)情況測試子模塊可測試網(wǎng)段內(nèi)IP是否可以連接外部網(wǎng)絡(luò)。

（6）信息匯總及報告生成模塊：待所有檢測完畢，工具會自動處理設(shè)備的相應(yīng)名稱、IP、MAC地址，設(shè)備之間的連接和層級關(guān)系等信息數(shù)據(jù)以及網(wǎng)絡(luò)設(shè)備端口、路由等信息。以大量的數(shù)據(jù)為基礎(chǔ)和相應(yīng)的算法來繪制出一幅最為真實、完整、準確的系統(tǒng)拓撲圖，與此同時用戶還可以手動編輯已經(jīng)生成的拓撲圖實現(xiàn)添加或刪除相關(guān)設(shè)備，從而提高功能的可塑性。

5 應(yīng)用研究

運用該軟件在三個變電站進行了網(wǎng)絡(luò)拓撲排查分析，基本達到了預(yù)期目標，但也存在一定不足。從應(yīng)用結(jié)果來看，廠站的拓撲排查首先需要具備一個IP的接入，此項工作如果不能提前申請并準備，會給排查帶來一定準備時間上的開銷。

在資產(chǎn)發(fā)現(xiàn)方面，軟件能夠發(fā)現(xiàn)較多的IP資源未登記情況，特別是Ⅲ區(qū)IP設(shè)備的臺賬廠站端的登記較為含糊，同時，Ⅲ區(qū)也是發(fā)現(xiàn)未登記IP資源或設(shè)備較多的區(qū)域，值得重視。值得肯定的是，該軟件能夠發(fā)現(xiàn)很多終端的操作系統(tǒng)內(nèi)核，這也給設(shè)備臺賬辨識提供了依據(jù)和便利。

在拓撲生成方面，由于廠站網(wǎng)絡(luò)結(jié)構(gòu)相對穩(wěn)定，拓撲生成相對準確和快速。但是，該軟件對于多個網(wǎng)段的掃描需要消耗大量處理器資源，需要優(yōu)化。優(yōu)化方案不能首先采用獲取具體網(wǎng)段的方案，需要SSH登錄交換機或路由，顯然在廠站便攜性和方便性上有所下降，因此，擴大硬件裝置內(nèi)核數(shù)目或者采用GPU進行海量線程掃描會是比較好的辦法。

6 總結(jié)

開發(fā)網(wǎng)絡(luò)拓撲排查工具軟件，基于網(wǎng)絡(luò)掃描探測技術(shù)，全面發(fā)現(xiàn)連接在系統(tǒng)上的任何有IP的設(shè)備，探知所有信息設(shè)備的網(wǎng)絡(luò)連接情況，生成和實際在運系統(tǒng)一致的網(wǎng)絡(luò)拓撲圖，可輔助運維人員了解系統(tǒng)網(wǎng)絡(luò)連接的真實情況，能及時發(fā)現(xiàn)系統(tǒng)存在的跨區(qū)互連、非法外聯(lián)、非法內(nèi)聯(lián)嚴重信息安全隱患，降低系統(tǒng)管理員運維工作量。

（1）網(wǎng)絡(luò)拓撲排查工具的設(shè)計，有助于對網(wǎng)絡(luò)中的設(shè)備及其詳細情況進行快速全面了解，降低自動化運維人員的工作強度。進一步的，針對設(shè)備的操作系統(tǒng)探測，有助于明確網(wǎng)絡(luò)中不同設(shè)備系統(tǒng)后期基線管理與加固的內(nèi)容和要求，正確開展安全管理工作。

（2）網(wǎng)絡(luò)拓撲排查工具的設(shè)計，采用了主動探測方式，減少了設(shè)備長時間掛網(wǎng)的風險，管理維護難度也較小，便攜等特點，比較受到現(xiàn)場運維人員的歡迎。

參考文獻

[1]汪文杰.一種網(wǎng)絡(luò)流量分析工具[J].數(shù)字技術(shù)與應(yīng)用， 2017 （10）：67-68.

[2]蔡洪民，伍乃騏，滕少華.NIDS中的掃描攻擊分析與檢測技術(shù)研究[J].微計算機應(yīng)用，2007 （02）：220-224.

[3] Thomson S，Nar ten T.IPv6 Stateless AddressAutoconf igura tion [S]. IETF RFC2462， 1998-12.

[4]羅輝.網(wǎng)絡(luò)管理技術(shù)[M].北京：高等教育出版社，2003，20-24.

[5]戴津.基于SpringBoot的EAST實驗數(shù)據(jù)存儲監(jiān)控系統(tǒng)[D].中國科學(xué)技術(shù)大學(xué)，2020.

[6]倪翔，面向教育平臺的程序在線評判系統(tǒng)設(shè)計與實現(xiàn)[D].天津大學(xué)，2017.

作者簡介

張可（1981-），男，云南省大理白族自治州人。高級工程師，云南電網(wǎng)有限責任公司大理供電局變電修試所。從事電力系統(tǒng)自動化工作。

田嗥（1985-），男，云南省大理白族自治州人。工程師，云南電網(wǎng)有限責任公司大理供電局。研究方向為電力系統(tǒng)自動化。

馬恩寧（1974-），男，回族，云南省大理白族自治州人。高級工程師，云南電網(wǎng)有限責任公司大理供電局變電修試所，從事電力系統(tǒng)自動化專業(yè)工作。

楊凱江（1989-），男，白族，云南省大理白族自治州人。工程師，云南電網(wǎng)有限責任公司大理供電局變電修試所，從事電力系統(tǒng)自動化專業(yè)工作。