技術領域

本發明涉及計算機網絡技術領域，特別涉及一種構建終端拓撲的方法和裝置。

背景技術

計算機連接的方式叫做“網絡拓撲結構”。網絡拓撲是指用傳輸媒體互連各種設備的物理布局，特別是計算機分布的位置以及電纜如何通過它們。網絡拓撲具有很強的直觀性，在網絡拓撲中，可以清楚地顯示設備的物理連接，并且通過不同的圖案、不同的顏色來展現不同設備的屬性信息。由于網絡拓撲顯示的是物理設備，所以整個網絡拓撲承載的是設備管理的相關業務，例如：IP(Internet?Protocol，因特網協議)拓撲圖。IP拓撲圖是系統根據IP視圖中的子網和設備自動繪制的拓撲圖，在IP拓撲圖中顯示出了各個子網和設備之間的連接關系、鏈路狀態、設備狀態等網絡結構和狀態信息。IP視圖用于顯示網絡中的子網和設備，通過IP視圖可以查看子網中的設備并對設備進行相關的操作。二層拓撲圖是系統根據子網中的設備自動繪制的拓撲圖，在二層拓撲圖中顯示出了各個設備之間的二層連接關系、鏈路狀態、設備狀態等網絡結構和狀態信息。除此之外，拓撲圖還會顯示出與設備有連接關系的未知MAC(Media?Access?Control，介質訪問控制)區域。同時，設備狀態和鏈路狀態都會保持實時更新，方便用戶觀測當前的網絡狀況。

從上述拓撲圖的描述中，可以看出：

(1)現有的拓撲圖都是從網絡設備的角度去顯示網絡的拓撲結構，并沒有顯示終端的接入用戶；

(2)現有的拓撲圖缺少對接入層業務和接入用戶的管理，沒有承載接入用戶管理的業務。即便是在拓撲圖中顯示PC(Personal?Computer，個人電腦)，也僅僅是將PC作為設備來管理，沒有聚焦于終端用戶的管理；

(3)現有的拓撲圖沒有聚焦于業務，僅僅從物理網絡出發，網絡的節點與業務沒有關聯；

(4)現有的拓撲圖沒有將網絡設備的接入安全控制和用戶的接入行為管理結合，缺乏對用戶終端的集中控制管理，不能夠提高網絡的主動抵抗能力。

隨著互聯網的飛速發展，對網絡的管理開始從對網絡設備的管理向接入層的終端用戶延伸。互聯網接入層是直接面向用戶接入的接口，面臨很多難以想象的環境，并且接入層設備成本低，品種繁多，地點分散，不便管理，出現問題影響的范圍小，大量的重復性工作也容易導致對接入層安全管理工作的忽視。隨著網絡接入用戶數量的劇增以及日益嚴峻的安全威脅，現有的基于設備管理的網絡管理已經無法適應現有的網絡狀況。主要表現在：

(1)對用戶的安全狀態一無所知，防御措施治標不治本；

(2)對來自局域網內部的威脅無法及時響應；

(3)無法對終端接入用戶進行有效地接入控制；

(4)無法對終端接入用戶的網絡使用行為進行管理。

因此，現有技術的缺點是：現有的拓撲圖不能顯示終端的接入用戶，現有的網絡管理缺少對接入層業務和終端接入用戶的管理，缺乏對用戶終端的集中控制管理，無法提高網絡的主動抵抗能力。

發明內容

本發明實施例要解決的問題是提供一種構建終端拓撲的方法和裝置，以實現繪制以終端用戶為起點的終端拓撲，并在該終端拓撲中對終端用戶進行狀態監控。

為達到上述目的，本發明實施例提供了一種構建終端拓撲的方法，用于網絡接入側，其中所述網絡包括接入服務器，多個終端用戶以及至少一個連接所述接入服務器和所述終端用戶并為所述終端用戶提供認證轉發服務的接入交換機，包括以下步驟：所述接入服務器獲取所述終端用戶的地址信息以及狀態信息；所述接入服務器根據上述信息和已存的所述接入交換機的地址信息繪制包括所述接入交換機在內的終端拓撲，以向網絡管理員展示。

繪制終端拓撲之后，還包括：所述接入服務器通過所述終端拓撲對所述終端用戶進行狀態監控，當發現所述終端用戶的狀態不符合第一安全策略時，在所述終端拓撲上給出提示信息。

所述接入服務器通過所述終端拓撲對所述終端用戶進行狀態監控之后，還包括：當發現所述終端用戶的狀態不符合第二安全策略時，所述接入服務器在所述終端拓撲中強制所述終端用戶下線。

所述接入服務器在所述終端拓撲中強制所述終端用戶下線包括：所述接入服務器通知所述接入交換機斷開所述終端用戶的網絡連接。

所述接入服務器在所述終端拓撲中強制所述終端用戶下線還包括：所述接入服務器通知所述終端用戶安裝的客戶端軟件斷開所述終端用戶的網絡連接。