本发明专利技术公开了一种复杂网络模拟环境下业务场景网络快速构建的方法及系统。本方法为:1)根据目标场景网络配置所需的网络拓扑结构、虚拟路由器、各IP地址段和VLAN,生成该目标场景网络的配置文件,并将其发送到路由控制网络和交换机控制网络;2)交换机控制网络根据配置文件完成节点接入网络的基础配置;3)路由控制网络的虚拟路由服务器根据该配置文件创建虚拟路由,以及根据配置文件划分子网和VLAN;4)虚拟路由服务器的物理接口和实验网络中的实验网络核心交换机相连接,接入各节点;5)虚拟路由服务器根据配置文件创建虚拟交换机之间的虚拟连接;6)虚拟路由服务器与虚拟交换机进行通信并建立管控,各虚拟交换机下发流表。
【技术实现步骤摘要】
一种复杂网络模拟环境下业务场景网络快速构建的方法及系统
本专利技术属于互联网网络安全
,涉及一种在复杂网络模拟环境中快速大规模实现复杂场景网络的方法及系统。
技术介绍
网络空间对抗形势日趋严峻,网络攻防已成为各国网络攻防对抗的主要内容。网络环境已由单纯互联网发展到了泛在网络空间,攻击方式也由单一模式朝着复杂的APT攻击方向发展。复杂网络模拟环境是针对网络攻防演练和网络新技术评测的重要基础设施,用来提高网络和信息系统的稳定性、安全性和性能。世界各国均高度重视复杂网络模拟环境建设,将其作为支撑网络空间安全技术验证、网络武器试验、攻防对抗演练和网络风险评估的重要手段。在复杂网络模拟环境实际应用过程中,为达到真实目标网络环境模拟,往往需要复杂网络结构的还原,构建一个和真实环境一模一样的虚拟场景网络。网络中包含路由连接关系,自治域内部和自治域间的复杂链路结构,真实的网络地址等。现有传统的复杂网络模拟环境在场景网络环境构建方面仅能实现不同网段的划分,无法实现复杂的网络层级关系。缺少网络间的路由,或由物理设备构建的网络层级关系无法实现灵活改变,针对大规模复杂的网络结构模拟代价大,纯手工搭建物理设备网络环境耗时久,代价大。无法针对真实的网络地址进行的模拟和自定义,对于真实网络的还原和模拟有很大的局限性。
技术实现思路
针对现有技术中存在的技术问题,本专利技术的目的在于提供一种复杂网络模拟环境场景网络快速构建的方法及系统,以解决真实复杂网络拟真和灵活快速构建等问题,本专利技术通过引入SDN(软件定义网络)技术,生成虚拟路由器(vRouter),SDN控制器通过OpenFlow协议对虚拟路由器进行统一的策略管控,实现场景网络中路由节点的创建,并使用虚拟交换机(OVS)技术生成虚拟的OVS网桥(Bridge),实现场景网络中网段的划分。本专利技术能够根据实际需要创建出复杂的、多层级、多链路网络场景,解决传统环境无法大规模模拟复杂多层级和多链路网络场景的问题,并且由于是虚拟路由器,添加和删除灵活自由,不受物理设备的限制,生成虚拟设备耗时短代价低,解决了网络结构无法实现灵活改变的问题。综上所述,本专利技术极大的改善了传统的复杂网络模拟环境对真实网络的还原模拟的局限性。本专利技术的技术方案是:一种复杂网络模拟环境下业务场景网络快速构建的方法,其步骤包括:1)将复杂网络模拟环境中的服务器连接到实验网络的接入交换机上,各所述接入交换机连接到实验网络的核心交换机;接入网络的交换机连接到实验网络的核心交换机;2)根据目标场景网络配置所需的网络拓扑结构、虚拟路由器、各IP地址段和VLAN,生成该目标场景网络的配置文件,并将该配置文件发送到路由控制网络和交换机控制网络;3)交换机控制网络根据该配置文件完成节点接入网络的基础配置;4)路由控制网络的虚拟路由服务器根据该配置文件创建虚拟路由,以及根据该配置文件划分子网和VLAN,将该目标场景网络中的各节点划分到对应的VLAN和子网;5)每个虚拟路由服务器创建一个虚拟网桥,该虚拟机网桥与一服务器的物理接口绑定,以及与其他虚拟路由服务器创建的虚拟网桥分别连接;各虚拟网桥分别拥有一个通道接口,各虚拟网桥的通道接口均和每台虚拟路由服务器的一物理接口绑定,虚拟路由服务器的物理接口和实验网络中的实验网络核心交换机相连接,从而接入各节点;6)虚拟路由服务器根据该配置文件创建虚拟交换机之间的虚拟连接,以及配置虚拟交换机与SDN控制器的通信通道;7)虚拟路由服务器启动SDN控制器,通过配置的通信通道,与对应的虚拟交换机进行通信并建立管控;然后虚拟路由服务器向SDN控制器发送所述虚拟路由、端口IP地址信息,当SDN控制器根据接收到的信息向各虚拟交换机下发流表,从而完成虚拟路由器的创建。进一步的,创建所述虚拟路由的方法为:虚拟路由服务器首先从该配置文件中提取各节点之间的连接关系,根据Dijkstra单源最短路径算法计算生成每一节点到其他任意节点间的最短路径,根据最短路径信息,生成路由表条目信息。进一步的,所述根据该配置文件划分子网和VLAN的方法为:虚拟路由服务器根据该配置文件生成所需的虚拟网桥,将虚拟网桥上面的所有端口标记相应的VLAN标签,即划分子网和VLAN。进一步的,所述步骤7)中,虚拟路由服务器通过北向的API接口向SDN控制器发送所述虚拟路由、端口IP地址信息,当SDN控制器接收到信息后,通过南向的OpenFlow通道向各虚拟交换机下发流表,从而完成虚拟路由器的创建。进一步的,各所述虚拟路由器通过SDN控制器进行统一的控制和管理。进一步的,所述配置文件为JSON配置文件;通过SSH协议将该配置文件发送到路由控制网络和交换机控制网络。一种复杂网络模拟环境下业务场景网络快速构建系统,其特征在于,包括路由控制网络、实验网络、交换机控制网络、接入网络;其中,所述实验网络,为各业务场景使用的定制化网络场景,支持自定义网关、路由和IP;复杂网络模拟环境中的各节点接入到实验网络的接入交换机,各接入交换机连接到实验网络的核心交换机,实验网络和路由控制网络连接;所述节点包括真实节点和虚拟节点;所述路由控制网络中包含若干虚拟路由服务器,所述虚拟路由服务器中运行SDN控制器,SDN控制器通过目标场景网络的配置文件生成和管理虚拟路由器,实现该目标场景网络中节点间的路由,以及根据该配置文件进行子网划分离;所述路由控制网络中提供了各个节点的网关;每一节点的网关分别指向虚拟路由器的一对应端口;所述路由控制网络中包含若干虚拟网桥,不同用户的网络间通过虚拟网桥实现隔离;所述交换机控制网络,用于根据该配置文件对实验网络的交换机和接入网络的交换机进行配置;所述接入网络,作为与实验网络相对应的接入点网络,提供访问接口,使用户可以访问和使用复杂网络模拟环境业务场景中的网络和资源。进一步的,根据目标场景网络配置所需的网络拓扑结构、虚拟路由器、各IP地址段和VLAN,生成该目标场景网络的配置文件。进一步的,每个虚拟路由服务器创建一个虚拟网桥,该虚拟机网桥与一服务器的物理接口绑定,以及与其他虚拟路由服务器创建的虚拟网桥分别连接;各虚拟网桥分别拥有一个通道接口,各虚拟网桥的通道接口均和每台虚拟路由服务器的一物理接口绑定,虚拟路由服务器的物理接口和实验网络中的实验网络核心交换机相连接,从而接入各节点。进一步的,各所述虚拟路由器通过SDN控制器进行统一的控制和管理。本专利技术的系统主要功能为四部分:路由控制网络(vRouterCtrlNet)、实验网络(ExptNet)、交换机控制网络(MethCtrlNet)、接入网络(AccessNet)。各个网络的具体功能会在具体实施方式环节中详细阐明。用户纯图形界面选择场景网络所需资源、自定义绘制网络拓扑结构以及填写网络地址信息并提交。系统前台生成场景网络的JSON格式配置文件,该配置文件中的内容包含了根据用户填写的网络地址信息和网络拓扑结构,系统后台按照SDN控制器的北向应用程序接口(API)规范通过SDN(软件定义网络)技术生成虚拟路由器(vRouter),以及SDN控制器通过OpenFlow协议对虚拟路由器进行统一的策略管控,实现场景网络中路由节点的创建,生成虚拟路由器所需的路由关系,即节点间的连接关系,包含路由器与路由器本文档来自技高网...
【技术保护点】
1.一种复杂网络模拟环境下业务场景网络快速构建的方法,其步骤包括:1)将复杂网络模拟环境中的服务器连接到实验网络的接入交换机上,各所述接入交换机连接到实验网络的核心交换机;接入网络的交换机连接到实验网络的核心交换机;2)根据目标场景网络配置所需的网络拓扑结构、虚拟路由器、各IP地址段和VLAN,生成该目标场景网络的配置文件,并将该配置文件发送到路由控制网络和交换机控制网络;3)交换机控制网络根据该配置文件完成节点接入网络的基础配置;4)路由控制网络的虚拟路由服务器根据该配置文件创建虚拟路由,以及根据该配置文件划分子网和VLAN,将该目标场景网络中的各节点划分到对应的VLAN和子网;5)每个虚拟路由服务器创建一个虚拟网桥,该虚拟机网桥与一服务器的物理接口绑定,以及与其他虚拟路由服务器创建的虚拟网桥分别连接;各虚拟网桥分别拥有一个通道接口,各虚拟网桥的通道接口均和每台虚拟路由服务器的一物理接口绑定,虚拟路由服务器的物理接口和实验网络中的实验网络核心交换机相连接,从而接入各节点;6)虚拟路由服务器根据该配置文件创建虚拟交换机之间的虚拟连接,以及配置虚拟交换机与SDN控制器的通信通道;7)虚拟路由服务器启动SDN控制器,通过配置的通信通道,与对应的虚拟交换机进行通信并建立管控;然后虚拟路由服务器向SDN控制器发送所述虚拟路由、端口IP地址信息,当SDN控制器根据接收到的信息向各虚拟交换机下发流表,从而完成虚拟路由器的创建。...
【技术特征摘要】
1.一种复杂网络模拟环境下业务场景网络快速构建的方法,其步骤包括:1)将复杂网络模拟环境中的服务器连接到实验网络的接入交换机上,各所述接入交换机连接到实验网络的核心交换机;接入网络的交换机连接到实验网络的核心交换机;2)根据目标场景网络配置所需的网络拓扑结构、虚拟路由器、各IP地址段和VLAN,生成该目标场景网络的配置文件,并将该配置文件发送到路由控制网络和交换机控制网络;3)交换机控制网络根据该配置文件完成节点接入网络的基础配置;4)路由控制网络的虚拟路由服务器根据该配置文件创建虚拟路由,以及根据该配置文件划分子网和VLAN,将该目标场景网络中的各节点划分到对应的VLAN和子网;5)每个虚拟路由服务器创建一个虚拟网桥,该虚拟机网桥与一服务器的物理接口绑定,以及与其他虚拟路由服务器创建的虚拟网桥分别连接;各虚拟网桥分别拥有一个通道接口,各虚拟网桥的通道接口均和每台虚拟路由服务器的一物理接口绑定,虚拟路由服务器的物理接口和实验网络中的实验网络核心交换机相连接,从而接入各节点;6)虚拟路由服务器根据该配置文件创建虚拟交换机之间的虚拟连接,以及配置虚拟交换机与SDN控制器的通信通道;7)虚拟路由服务器启动SDN控制器,通过配置的通信通道,与对应的虚拟交换机进行通信并建立管控;然后虚拟路由服务器向SDN控制器发送所述虚拟路由、端口IP地址信息,当SDN控制器根据接收到的信息向各虚拟交换机下发流表,从而完成虚拟路由器的创建。2.如权利要求1所述的方法,其特征在于,创建所述虚拟路由的方法为:虚拟路由服务器首先从该配置文件中提取各节点之间的连接关系,根据Dijkstra单源最短路径算法计算生成每一节点到其他任意节点间的最短路径,根据最短路径信息,生成路由表条目信息。3.如权利要求1或2所述的方法,其特征在于,所述根据该配置文件划分子网和VLAN的方法为:虚拟路由服务器根据该配置文件生成所需的虚拟网桥,将虚拟网桥上面的所有端口标记相应的VLAN标签,即划分子网和VLAN。4.如权利要求1所述的方法,其特征在于,所述步骤7)中,虚拟路由服务器通过北向的API接口向SDN控制器发送所述虚拟路由、端口IP地址信息,当SDN...
【专利技术属性】
技术研发人员:刘歌,宋振宇,严坚,刘宝旭,王晓伟,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。