一种复杂网络模拟环境下业务场景网络快速构建的方法及系统与流程

本发明属于互联网网络安全技术领域，涉及一种在复杂网络模拟环境中快速大规模实现复杂场景网络的方法及系统。

背景技术

网络空间对抗形势日趋严峻，网络攻防已成为各国网络攻防对抗的主要内容。网络环境已由单纯互联网发展到了泛在网络空间，攻击方式也由单一模式朝着复杂的apt攻击方向发展。复杂网络模拟环境是针对网络攻防演练和网络新技术评测的重要基础设施，用来提高网络和信息系统的稳定性、安全性和性能。世界各国均高度重视复杂网络模拟环境建设，将其作为支撑网络空间安全技术验证、网络武器试验、攻防对抗演练和网络风险评估的重要手段。

在复杂网络模拟环境实际应用过程中，为达到真实目标网络环境模拟，往往需要复杂网络结构的还原，构建一个和真实环境一模一样的虚拟场景网络。网络中包含路由连接关系，自治域内部和自治域间的复杂链路结构，真实的网络地址等。现有传统的复杂网络模拟环境在场景网络环境构建方面仅能实现不同网段的划分，无法实现复杂的网络层级关系。缺少网络间的路由，或由物理设备构建的网络层级关系无法实现灵活改变，针对大规模复杂的网络结构模拟代价大，纯手工搭建物理设备网络环境耗时久，代价大。无法针对真实的网络地址进行的模拟和自定义，对于真实网络的还原和模拟有很大的局限性。

技术实现要素：

针对现有技术中存在的技术问题，本发明的目的在于提供一种复杂网络模拟环境场景网络快速构建的方法及系统，以解决真实复杂网络拟真和灵活快速构建等问题，本发明通过引入sdn(软件定义网络)技术，生成虚拟路由器(vrouter)，sdn控制器通过openflow协议对虚拟路由器进行统一的策略管控，实现场景网络中路由节点的创建，并使用虚拟交换机(ovs)技术生成虚拟的ovs网桥(bridge)，实现场景网络中网段的划分。本发明能够根据实际需要创建出复杂的、多层级、多链路网络场景，解决传统环境无法大规模模拟复杂多层级和多链路网络场景的问题，并且由于是虚拟路由器，添加和删除灵活自由，不受物理设备的限制，生成虚拟设备耗时短代价低，解决了网络结构无法实现灵活改变的问题。综上所述，本发明极大的改善了传统的复杂网络模拟环境对真实网络的还原模拟的局限性。

本发明的技术方案是：

一种复杂网络模拟环境下业务场景网络快速构建的方法，其步骤包括：

1)将复杂网络模拟环境中的服务器连接到实验网络的接入交换机上，各所述接入交换机连接到实验网络的核心交换机；接入网络的交换机连接到实验网络的核心交换机；

2)根据目标场景网络配置所需的网络拓扑结构、虚拟路由器、各ip地址段和vlan，生成该目标场景网络的配置文件，并将该配置文件发送到路由控制网络和交换机控制网络；

3)交换机控制网络根据该配置文件完成节点接入网络的基础配置；

4)路由控制网络的虚拟路由服务器根据该配置文件创建虚拟路由，以及根据该配置文件划分子网和vlan，将该目标场景网络中的各节点划分到对应的vlan和子网；

5)每个虚拟路由服务器创建一个虚拟网桥，该虚拟机网桥与一服务器的物理接口绑定，以及与其他虚拟路由服务器创建的虚拟网桥分别连接；各虚拟网桥分别拥有一个通道接口，各虚拟网桥的通道接口均和每台虚拟路由服务器的一物理接口绑定，虚拟路由服务器的物理接口和实验网络中的实验网络核心交换机相连接，从而接入各节点；

6)虚拟路由服务器根据该配置文件创建虚拟交换机之间的虚拟连接，以及配置虚拟交换机与sdn控制器的通信通道；

7)虚拟路由服务器启动sdn控制器，通过配置的通信通道，与对应的虚拟交换机进行通信并建立管控；然后虚拟路由服务器向sdn控制器发送所述虚拟路由、端口ip地址信息，当sdn控制器根据接收到的信息向各虚拟交换机下发流表，从而完成虚拟路由器的创建。

进一步的，创建所述虚拟路由的方法为：虚拟路由服务器首先从该配置文件中提取各节点之间的连接关系，根据dijkstra单源最短路径算法计算生成每一节点到其他任意节点间的最短路径，根据最短路径信息，生成路由表条目信息。

进一步的，所述根据该配置文件划分子网和vlan的方法为：虚拟路由服务器根据该配置文件生成所需的虚拟网桥，将虚拟网桥上面的所有端口标记相应的vlan标签，即划分子网和vlan。

进一步的，所述步骤7)中，虚拟路由服务器通过北向的api接口向sdn控制器发送所述虚拟路由、端口ip地址信息，当sdn控制器接收到信息后，通过南向的openflow通道向各虚拟交换机下发流表，从而完成虚拟路由器的创建。

进一步的，各所述虚拟路由器通过sdn控制器进行统一的控制和管理。

进一步的，所述配置文件为json配置文件；通过ssh协议将该配置文件发送到路由控制网络和交换机控制网络。

一种复杂网络模拟环境下业务场景网络快速构建系统，其特征在于，包括路由控制网络、实验网络、交换机控制网络、接入网络；其中，

所述实验网络，为各业务场景使用的定制化网络场景，支持自定义网关、路由和ip；复杂网络模拟环境中的各节点接入到实验网络的接入交换机，各接入交换机连接到实验网络的核心交换机，实验网络和路由控制网络连接；所述节点包括真实节点和虚拟节点；

所述路由控制网络中包含若干虚拟路由服务器，所述虚拟路由服务器中运行sdn控制器，sdn控制器通过目标场景网络的配置文件生成和管理虚拟路由器，实现该目标场景网络中节点间的路由，以及根据该配置文件进行子网划分离；所述路由控制网络中提供了各个节点的网关；每一节点的网关分别指向虚拟路由器的一对应端口；所述路由控制网络中包含若干虚拟网桥，不同用户的网络间通过虚拟网桥实现隔离；

所述交换机控制网络，用于根据该配置文件对实验网络的交换机和接入网络的交换机进行配置；

所述接入网络，作为与实验网络相对应的接入点网络，提供访问接口，使用户可以访问和使用复杂网络模拟环境业务场景中的网络和资源。

进一步的，根据目标场景网络配置所需的网络拓扑结构、虚拟路由器、各ip地址段和vlan，生成该目标场景网络的配置文件。

进一步的，每个虚拟路由服务器创建一个虚拟网桥，该虚拟机网桥与一服务器的物理接口绑定，以及与其他虚拟路由服务器创建的虚拟网桥分别连接；各虚拟网桥分别拥有一个通道接口，各虚拟网桥的通道接口均和每台虚拟路由服务器的一物理接口绑定，虚拟路由服务器的物理接口和实验网络中的实验网络核心交换机相连接，从而接入各节点。

进一步的，各所述虚拟路由器通过sdn控制器进行统一的控制和管理。

本发明的系统主要功能为四部分：路由控制网络(vrouterctrlnet)、实验网络(exptnet)、交换机控制网络(methctrlnet)、接入网络(accessnet)。各个网络的具体功能会在具体实施方式环节中详细阐明。

用户纯图形界面选择场景网络所需资源、自定义绘制网络拓扑结构以及填写网络地址信息并提交。

系统前台生成场景网络的json格式配置文件，该配置文件中的内容包含了根据用户填写的网络地址信息和网络拓扑结构，系统后台按照sdn控制器的北向应用程序接口(api)规范通过sdn(软件定义网络)技术生成虚拟路由器(vrouter)，以及sdn控制器通过openflow协议对虚拟路由器进行统一的策略管控，实现场景网络中路由节点的创建，生成虚拟路由器所需的路由关系，即节点间的连接关系，包含路由器与路由器之间的连接关系，终端与路由器之间的连接关系，虚拟路由器的虚拟接口地址信息，使用虚拟交换机(ovs)技术生成虚拟的ovs网桥(bridge)，实现场景网络中网段的划分，发送到虚拟路由服务器。

虚拟路由服务器实时监听虚拟路由服务器中指定目录是否收到新的系统前台生成的场景网络json格式配置文件，如果收到，自动启动场景网络的创建流程。

虚拟路由服务器提取前台发送来的配置文件的信息，生成虚拟网桥和虚拟路由器。根据场景网络的需要，自动配置虚拟网桥和虚拟路由器(vrouter)的端口，划分虚拟局域网(vlan)、配置接口地址、配置虚拟连接线路。

虚拟路由服务器根据节点间的连接关系，生成路由表，向虚拟路由器中写入自动生成的路由表，实现场景内的复杂网络路由。

配置文件中包含了真实节点(物理服务器)和虚拟节点(虚拟机)，将场景中的真实节点和虚拟节点连接的实验网络接入交换机配置vlan信息，并创建实验网络核心交换机到虚拟路由服务器的链路，即在核心交换机与虚拟路由服务器相连接的端口配置tunk通道允许的vlan。

本发明的整体网络系统架构根据功能划分的四种网络，即路由控制网络、场景网络、交换机控制网络、接入网络，网络与网络间的连接关系，各网络实现的功能。

本发明在处理场景网络配置文件的阶段，自动解析各节点的连接关系，通过最短路径算法生成节点间的连接关系的方法。

本发明在场景虚拟路由生成阶段，使用sdn控制器对虚拟网桥(bridge)进行管控和配置的方式，通过北向的restful接口向sdn控制器发送路由表信息的方式，sdn控制器将路由表信息通过南向的openflow通道发送给各bridge的途径和方法。在具体实施方式环节有详细的阐明。

与现有技术相比，本发明有以下明显有点：

1.能够实现大规模复杂场景网络的构建，改变了传统环境结构单一简单的现状。实现模拟互联网中自治域间、自治域内以及园区网络内部路由连接关系的体现，最大限度的实现真实环境的拟真，弥补了现有技术无法实现层级网络路由关系的不足。

2.场景网络快速自动化部署，复杂路由关系无需再依赖物理网络设备和人工配置，大幅提高效率。通过sdn技术实现网络地址信息的自定义，即可以是私网地址也可以是公网地址，解决现有技术只能自动分配私网地址，无法定义真实地址的问题。

3.通过sdn技术和虚拟交换机的使用，实现不同场景网络间并行隔离，互不干扰，解决多租户同时使用地址冲突的问题。

附图说明

图1为总体系统架构图；

图2为虚拟路由业务流程图。

具体实施方式

为了使相关专业人员能够更好的深入理解本发明的技术方案，下面结合本申请具体实施案例及相关附图对本申请技术方案进行清楚完整的阐述。

本发明根据前端用户自定义的场景网络拓扑信息，自动生成配置文件和路由信息，并下发到路由服务器自动创建和虚拟网络设备、链路，从而快速生成大规模复杂场景网络。

本发明的系统应用于复杂网络模拟环境之中，系统架构如图1所示，在这其中，本发明的系统功能主要分为四部分：路由控制网络(vrouterctrlnet)、实验网络(exptnet)、交换机控制网络(methctrlnet)、接入网络(accessnet)。

本发明的系统中较为核心的部分为虚拟路由控制网络(vrouterctrlnet)，路由控制网络中包含了虚拟路由服务器，服务器中运行着sdn控制器，虚拟路由服务器可以生成若干虚拟路由器(vrouter)，实现了场景网络中节点间的路由，所有的vrouter通过sdn控制器进行统一的控制和管理，sdn控制器通过场景网络的配置文件对所有的虚拟路由器进行生成和管理，包括虚拟路由器的接口ip地址信息、路由表。同时，路由控制网络中提供了各个节点的网关，所有的实物和虚拟节点网关均指向虚拟路由器的某个端口。同时，路由控制网络中通过虚拟交换机技术，虚拟路由服务器根据场景网络配置文件创建出的若干虚拟网桥(bridge)，在bridge中划分了不同的vlan，实现对子网进行划分和隔离，同时不同用户(租户)的网络间，又通过不同的场景bridge以及其中的vlan实现了租户间的隔离。租户与租户间不共享vlan，且不同租户间的bridge不互连，故实现了网络隔离。

实验网络为各业务场景使用的定制化网络场景，支持自定义网关、路由和ip。整个系统所有业务场景均部署在业务场景网络上，是业务场景运行的网络基础。复杂网络模拟环境中的真实和虚拟节点(tnode)接入到实验网络接入交换机(exptnetsw)，接入交换机连接到实验网络核心交换机(coreexptnetsw)，实验网络和路由控制网络连接，从而实现tnode节点间在场景网络中的路由。简单概括两个不同子网节点间的网络路径为：节点1—实验网络—路由控制网络—实验网络—节点2。

交换机控制网络用于对实验网络交换机和接入网络交换机进行配置，包括了创建vlan、端口开闭、通道创建等操作。

接入网络(accessnet)作为与实验网络相对应的接入点网络，提供了最终用户的访问接口，使用户可以访问和使用复杂网络模拟环境业务场景中的网络和其他资源。

下面结合创建一个场景网络的实例具体说明本发明的技术实施过程：

1.场景网络物理设备连接

所有复杂网络模拟环境服务器通过电缆连接到实验网络接入交换机上，每台接入交换机通过光纤线路连接到实验网络核心交换机，接入网络交换机也通过光纤线路连接到实验网络核心交换机。

2.接入交换机自动配置

用户通过前台界面画图，创建场景网络，配置好所需的网络拓扑结构、虚拟路由器、各ip地址段、vlan等，而后前台生成了场景网络的json配置文件，并通过ssh协议发送到路由控制网络和交换机控制网络。

当场景网络中有一个及以上的vlan，则需要在实验网络接入交换机中创建场景网络中所需的vlan，以便终端设备的接入(真实和虚拟节点)能够按照要求加入到相应的vlan中。通过场景配置文件，交换机控制网络中的系统解析配置文件后，通过ssh协议与物理交换机进行通信，将配置文件中的任务信息解析为指令发送到物理交换机，此步骤包括创建vlan，配置交换机端口，配置trunk通道，开启或关闭端口等。

交换机控制网络完成tnode接入网络的基础配置，此步骤是配合路由控制网络完成各节点的接入，是各节点接入的第一步，属于准备初始基础工作，在接入交换机上将节点相对应的端口划分好vlan后，即完成了初始基础工作，所有的场景网络路由以及网关均由路由控制网络完成，真实节点和虚拟节点只通过实验网络中的接入交换机接入场景网络。

3.场景网络虚拟路由配置

如果场景网络中存在三层转发的路由设备，则需要进行虚拟路由的创建和配置。场景网络虚拟路由的创建流程如图2所示。

●虚拟路由服务器收到配置文件后，便立即开展虚拟路由的创建工作。

●虚拟路由服务器首先将接受到的配置文件进行解析，提取所有服务器、交换机、路由器各节点之间的连接关系，根据节点间连接关系，包含路由器与路由器之间，终端与路由器之间的连接关系，根据dijkstra(迪杰斯特拉)单源最短路径算法，自动计算生成所有节点到其他任意节点间的最短路径，根据最短路径信息，生成路由表条目信息。

●虚拟路由服务器根据配置文件，首先生成所需的虚拟网桥(bridge)，将bridge上面的所有端口标记相应的vlan标签，即划分子网和vlan，场景网络中的各节点均属于不同的vlan和子网，这里的每一个带有vlan标签的接口会和各节点间网络上二层逻辑相连。同时，每个虚拟路由服务器创建一个bridge和服务器的物理接口绑定，同时和其他所有的bridge连接，该bridge上的唯一trunk接口和每台虚拟路由服务器的一个物理接口绑定，虚拟路由服务器的物理接口和实验网络中的实验网络核心交换机相连接，从而接入各tnode节点。这样tnode节点就可以接入到路由控制网络中，访问到自身子网的网关，从而实现不同子网节点间的路由。根据场景网络配置文件中的bridge间连接关系，创建bridge之间的虚拟连接。还有一部分的bridge作为后续步骤的虚拟路由器使用，故虚拟路由服务器将这些bridge配置与sdn控制器的通信通道，sdn控制器通过openflow协议对bridge进行管控。

●为了使bridge转化为具有路由转发功能的虚拟路由器(vrouter)，此时虚拟路由服务器启动sdn控制器，通过先前配置的通信通道，与相关的bridge进行通信并建立管控，此时服务器通过北向的api接口向sdn控制器发送之前根据场景配置文件生成的路由表信息、端口ip地址信息，当sdn控制器接收到信息后，通过南向的openflow通道向各bridge下发流表，从而完成虚拟路由器的创建。sdn控制器、bridge、均运行在虚拟路由服务器之中，它们之间的通信均发生在服务器内。

4.接入网络配置

接入网络为使用者(可以是租户，或其他实际使用租户所创建的场景网络的相关人员)接入场景网络创建了物理接入点，以便使用者的终端设备可以接入到场景网络中，访问到场景网络中的真实节点和虚拟节点。

尽管上面对本发明说明性的具体实施方式进行了描述，以便于本技术领域的研究人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来说，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。