网络故障诊断方法及装置制造方法及图纸

本公开提供了一种网络故障诊断方法，涉及应用安全技术领域。方法包括：配置连通性检测条件；连通性检测条件包括预设路由表和检测参数；检测参数包括源IP地址、目的IP地址、协议类型、以及目的端口；根据源IP地址和目的IP地址，确定第一局域网中组成目标检测链路的所有设备；获取目标检测链路的至少一条访问控制策略；根据连通性检测条件对目标检测链路的至少一条访问控制策略进行连通性检测，获取第一故障诊断结果；交换源IP地址和目的IP地址，对目标检测链路的至少一条访问控制策略进行连通性检测，获取第二故障诊断结果；若第一故障诊断结果与第二故障诊断结果一致，则确定故障诊断结果正确。采用本方法能够提高网络故障诊断结果的准确性。结果的准确性。结果的准确性。

【技术实现步骤摘要】
网络故障诊断方法及装置


[0001]本公开涉及应用安全
，尤其涉及一种网络故障诊断方法、装置、电子设备及可读存储介质。

技术介绍

[0002]随着网络设备种类增加，网络业务类型不断丰富，业务组网方式更加复杂，导致网络故障发生问题时难以定位和排查，给技术人员维护带来很多问题。
[0003]相关技术中，侧重从物理角度探测网络连通性，如安装客户端、端口探测、IP可用性等方式对网络是否连接、通信层面联通进行故障诊断，但是未考虑在网络已联通的情况下，基于网络安全策略进行故障诊断，不能有效判断当前网络中的冗余、冲突、合并等策略配置中存在的影响策略连通性的问题。
[0004]综上，如何提高网络故障诊断结果的准确性是当前亟需解决的问题。

技术实现思路

[0005]为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种网络故障诊断方法，解决了网络业务拓扑结构中，网络发生故障问题时难以定位和排查的问题，进而提高网络故障的诊断结果的准确性。
[0006]为了实现上述目的，本公开实施例提供技术方案如下：
[0007]第一方面，本公开的实施例提供一种网络故障诊断方法，所述方法包括：
[0008]配置连通性检测条件；所述连通性检测条件包括：预设路由表和检测参数；所述预设路由表包括：至少两个设备的设备IP、接口IP、目的子网以及下一跳IP地址；所述检测参数包括：源IP地址、目的IP地址、协议类型、以及目的端口；
[0009]根据所述源IP地址和所述目的IP地址，确定第一局域网中组成目标检测链路的所有设备；所述目标检测链路包含至少一条访问控制策略；
[0010]获取所述目标检测链路的至少一条访问控制策略；
[0011]根据所述连通性检测条件对所述目标检测链路的至少一条访问控制策略进行连通性检测，获取第一故障诊断结果；
[0012]交换所述源IP地址和所述目的IP地址，对所述目标检测链路的至少一条访问控制策略进行连通性检测，获取第二故障诊断结果；
[0013]若所述第一故障诊断结果与所述第二故障诊断结果一致，则确定故障诊断结果正确。
[0014]作为本公开实施例一种可选的实施方式，所述根据所述源IP地址和所述目的IP地址，确定第一局域网中组成目标检测链路的所有设备，包括：
[0015]判断是否存在第一局域网对应的预设路由表；
[0016]若不存在所述预设路由表，则根据拓扑节点寻址算法进行寻址，获取第一局域网的网络拓扑关系；
[0017]根据所述源IP地址、所述目的IP地址、以及所述第一局域网的网络拓扑关系，确定组成目标检测链路的所有设备。
[0018]作为本公开实施例一种可选的实施方式，所述方法还包括：
[0019]若存在所述预设路由表，则根据所述预设路由表进行寻址，获取至少一个网络设备；
[0020]根据所述至少两个网络设备确定至少一个安防设备；
[0021]根据所述至少一个网络设备、以及至少一个安防设备确定组成目标检测链路的所有设备。
[0022]作为本公开实施例一种可选的实施方式，所述方法还包括：
[0023]所述若存在所述预设路由表，则根据所述预设路由表进行寻址，获取至少一个网络设备，包括：
[0024]判断所述源IP地址是否包含于所述预设路由表；
[0025]若所述源IP地址不包含于所述预设路由表，则确定路由表配置错误；
[0026]若所述源IP地址包含于所述预设路由表，则根据所述源IP地址获取第一接口IP；
[0027]根据所述第一接口IP获取第一网络设备IP；
[0028]根据所述目的IP地址、以及所述第一网络设备IP，确定第一目的子网；
[0029]根据所述第一目的子网确定第一网络设备对应的下一跳IP地址；
[0030]根据所述第一网络设备对应的下一跳IP地址确定第二接口IP；
[0031]根据所述第二接口IP获取第二网络设备IP；
[0032]根据所述目的IP地址以及所述第二网络设备IP，确定第二目的子网；
[0033]根据所述第二目的子网确定第二网络设备对应的下一跳IP地址，依次循环，直到所述目的IP地址不包含于目标设备对应的目的子网时，确定寻址结束。
[0034]作为本公开实施例一种可选的实施方式，所述根据所述连通性检测条件对所述目标检测链路的至少一条访问控制策略进行连通性检测，获取第一故障诊断结果，包括：
[0035]获取组成目标检测链路的所有设备的设备地址；所述组成目标检测链路的所有设备包括：至少一个安防设备和至少一个网络设备；
[0036]根据各个安防设备的设备地址获取各个安防设备的访问控制策略；
[0037]根据所述检测参数对所述各个安防设备的访问控制策略进行连通性检测，获取第一故障诊断结果。
[0038]作为本公开实施例一种可选的实施方式，所述方法还包括：
[0039]若目标设备IP对应的接口IP包括所述目的IP地址，且，所述目标设备IP对应的下一跳IP地址不属于所述第一局域网的接口IP，则确定所述目标设备IP对应的设备为所述第一局域网与第二局域网的接口设备；
[0040]根据所述接口设备将连通性检测指令发送给所述第二局域网，以使所述第二局域网完成连通性检测，并将第三故障诊断结果返回给所述第一局域网。
[0041]作为本公开实施例一种可选的实施方式，在根据所述连通性检测条件对所述目标检测链路的至少一条访问控制策略进行连通性检测，获取第一故障诊断结果之后，所述方法还包括：
[0042]根据所述第一故障诊断结果生成策略建议；所述策略建议包括：建议放行目标链
路或建议阻断目标链路；
[0043]根据所述策略建议生成策略配置工单；所述策略配置工单包括：所述第一局域网中至少一条业务链路对应的访问控制策略建议；
[0044]根据所述策略配置工单将各条策略建议下发到对应的设备中；
[0045]检测所述第一局域网中的至少一条业务链路对应的策略建议是否生效。
[0046]第二方面，本公开实施例提供一种网络故障诊断装置，包括：
[0047]条件配置模块，用于配置连通性检测条件；所述连通性检测条件包括：预设路由表和检测参数；所述预设路由表包括设备IP、接口IP、目的子网以及下一跳IP地址；所述检测参数包括：源IP地址、目的IP地址、协议类型、以及目的端口；
[0048]设备确定模块，用于根据所述源IP地址和所述目的IP地址，确定第一局域网中组成目标检测链路的所有设备；所述目标检测链路包含至少一条访问控制策略；
[0049]策略获取模块，用于获取所述目标检测链路的至少一条访问控制策略；
[0050]第一故障诊断模块，用于根据所述连通性检测条件对所述目标检测链路的至少一条访问控制策略进行连通性检测，获取第一故障诊断结果；
[0051]第二故障诊断模块，用于本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络故障诊断方法，其特征在于，所述方法包括：配置连通性检测条件；所述连通性检测条件包括：预设路由表和检测参数；所述预设路由表包括：至少两个设备的设备IP、接口IP、目的子网以及下一跳IP地址；所述检测参数包括：源IP地址、目的IP地址、协议类型、以及目的端口；根据所述源IP地址和所述目的IP地址，确定第一局域网中组成目标检测链路的所有设备；所述目标检测链路包含至少一条访问控制策略；获取所述目标检测链路的至少一条访问控制策略；根据所述连通性检测条件对所述目标检测链路的至少一条访问控制策略进行连通性检测，获取第一故障诊断结果；交换所述源IP地址和所述目的IP地址，对所述目标检测链路的至少一条访问控制策略进行连通性检测，获取第二故障诊断结果；若所述第一故障诊断结果与所述第二故障诊断结果一致，则确定故障诊断结果正确。2.根据权利要求1所述的方法，其特征在于，所述根据所述源IP地址和所述目的IP地址，确定第一局域网中组成目标检测链路的所有设备，包括：判断是否存在第一局域网对应的预设路由表；若不存在所述预设路由表，则根据拓扑节点寻址算法进行寻址，获取第一局域网的网络拓扑关系；根据所述源IP地址、所述目的IP地址、以及所述第一局域网的网络拓扑关系，确定组成目标检测链路的所有设备。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：若存在所述预设路由表，则根据所述预设路由表进行寻址，获取至少一个网络设备；根据所述至少两个网络设备确定至少一个安防设备；根据所述至少一个网络设备、以及至少一个安防设备确定组成目标检测链路的所有设备。4.根据权利要求3所述的方法，其特征在于，所述若存在所述预设路由表，则根据所述预设路由表进行寻址，获取至少一个网络设备，包括：判断所述源IP地址是否包含于所述预设路由表；若所述源IP地址不包含于所述预设路由表，则确定路由表配置错误；若所述源IP地址包含于所述预设路由表，则根据所述源IP地址获取第一接口IP；根据所述第一接口IP获取第一网络设备IP；根据所述目的IP地址、以及所述第一网络设备IP，确定第一目的子网；根据所述第一目的子网确定第一目的子网对应的下一跳IP地址；根据所述第一目的子网对应的下一跳IP地址确定第二接口IP；根据所述第二接口IP获取第二网络设备IP；根据所述目的IP地址以及所述第二网络设备IP，确定第二目的子网；根据所述第二目的子网确定第二网络设备对应的下一跳IP地址，依次循环，直到所述目的IP地址不包含于目标设备对应的目的子网时，确定寻址结束。5.根据权利要求1所述的方法，其特征在于，所述根据所述连通性检测条件对所述目标检测链路的至少一条访问控制策略进行连通性检测，获取第一故障诊断结果，包括...

【专利技术属性】
技术研发人员：霍纪中，付品，林超，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：