一种网络靶场设备透明接入的方法与流程

1.本发明涉及网络安全技术领域，尤其涉及一种网络靶场设备透明接入的方法。


背景技术：

2.网络靶场中，虚拟网络环境经常需要以透明方式接入虚拟设备。现在在虚拟网络环境中透明接入虚拟设备，采用sdn技术使用流表以软交换的方式在虚拟设备之间传递网络流量。


技术实现要素：

3.本发明的实施例提供了一种网络靶场设备透明接入的方法，用于解决现有技术中存在的问题。
4.为了实现上述目的，本发明采取了如下技术方案。
5.一种网络靶场设备透明接入的方法，包括：
6.s1收集需要透明接入的虚拟设备的逻辑位置；
7.s2基于该需要透明接入的虚拟设备的逻辑位置，分配一台虚拟交换机用于子网标签的透明传递；
8.s3基于当前子网标签的使用情况，为分配的虚拟交换机的相关网络端口设计端口类型和子网标签类型；
9.s4基于步骤s3设计的端口类型和子网标签类型，接入需要透明接入的虚拟设备；
10.s5解除步骤s4中接入的虚拟设备的连接，恢复网络靶场的原始配置。
11.优选地，步骤s3中，设计的端口类型包括：
12.用于分配的虚拟交换机分别与需要透明接入的虚拟设备、虚拟客户端和同一广播域其它设备相连接的接入端口；
13.用于分配的虚拟交换机与网络靶场中其它虚拟交换机相连接的中继端口。
14.优选地，步骤s5具体包括：
15.s51收集需要拆除的虚拟设备的逻辑位置；
16.s52基于该需要拆除的虚拟设备的逻辑位置，确定需要被拆除的虚拟设备、虚拟交换机和需要恢复的虚拟客户端；
17.s53基于需要恢复的虚拟客户端，确定需要恢复的流量标签，以及需要被拆除的虚拟设备和虚拟交换机所属的流量标签；
18.基于子步骤s53中确定的需要被拆除的虚拟设备和虚拟交换机所属的流量标签，拆除虚拟设备和对应连接的虚拟交换机，将虚拟客户端所连接的端口恢复到初始状态。
19.优选地，还包括从网络靶场中拆除透明接入设备的过程，具体包括：
20.s6选择需要拆除的网络设备；
21.s7基于需要拆除的网络设备的逻辑位置，对现有网络的拓扑结构进行重新计算，识别透明接入设备流量流入端和流量流出端的端口的子网标签；
22.s8将透明接入设备流量流入端的子网标签的值作为需要拆除的流量标签；
23.s9对现有网络的环境配置进行采集和备份；
24.s10基于步骤s8获得的需要拆除的流量标签，拆除步骤s6中选择的网络设备。
25.由上述本发明的实施例提供的技术方案可以看出，本发明提供的一种网络靶场设备透明接入的方法，为需要透明接入的虚拟设备新增一台虚拟交换机，为新增的虚拟交换机设计的两个端口分配不同子网标签，整体并实施透明接入和透明拆除，实现网络靶场设备的透明接入。本发明提供的方法，相比sdn流表技术，本发明不会对透明接入的虚拟设备提出额外要求；不会对原网络造成太大影响(仅涉及更改接入端口的子网标签)，虚拟设备接入方便灵活，接入时仅添加接入端口到新子网标签，拆除也方便灵活，拆除时仅将接入端口的子网标签由新子网标签改回原来的子网标签。
26.本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。
附图说明
27.为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
28.图1为本发明提供的一种网络靶场设备透明接入的方法的处理流程图；
29.图2为本发明提供的一种网络靶场设备透明接入的方法的拓扑示意图；
30.图3为本发明提供的一种网络靶场设备透明接入的方法的虚拟设备透明接入的流程图；
31.图4为本发明提供的一种网络靶场设备透明接入的方法的网络靶场虚拟设备透明拆除流程图；
32.图5为本发明提供的一种网络靶场设备透明接入的方法的网络靶场设备透明拆除流程图。
具体实施方式
33.下面详细描述本发明的实施方式，所述实施方式的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。
34.本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。
35.本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术
语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。
36.为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。
37.本发明提供一种网络靶场设备透明接入的方法，用于解决现有技术中存在如下技术问题：sdn的流表软交换需要运行在虚拟设备上，流表占用内存，软交换会给虚拟设备带来额外的cpu消耗，网络环境越复杂，这种消耗越明显，当软交换出现网络故障后，问题定位难，解决也难。
38.实施例一
39.参见图1和2，本发明提供的一种网络靶场设备透明接入的方法，包括如下过程：
40.s1收集需要透明接入的虚拟设备的逻辑位置；
41.s2基于该需要透明接入的虚拟设备的逻辑位置，为该虚拟设备分配一台虚拟交换机用于子网标签的透明传递；
42.s3基于当前子网标签的使用情况，为这台新分配的虚拟交换机的相关网络端口设计端口类型并分配子网标签类型；
43.s4将步骤s3设计的端口类型和子网标签类型的策略，下发到需要透明接入的虚拟设备；
44.s5虚拟设备的通信结束，进行清场作业，具体为解除步骤s4中接入的虚拟设备的连接，恢复网络靶场的原始配置。
45.进一步的，在一些优选实施方式中，步骤s3中，设计的端口类型包括：
46.用于分配的虚拟交换机分别与需要透明接入的虚拟设备、虚拟客户端和同一广播域其它设备相连接的接入端口；
47.用于分配的虚拟交换机与网络靶场中其它虚拟交换机相连接的中继端口。
48.进一步的，步骤s5具体包括：
49.s51收集需要拆除的虚拟设备的逻辑位置；
50.s52基于该需要拆除的虚拟设备的逻辑位置，确定需要被拆除的虚拟设备、虚拟交换机和需要恢复的虚拟客户端；
51.s53基于需要恢复的虚拟客户端，确定需要恢复的流量标签，以及需要被拆除的虚拟设备和虚拟交换机所属的流量标签；
52.基于子步骤s53中确定的需要被拆除的虚拟设备和虚拟交换机所属的流量标签，拆除虚拟设备和对应连接的虚拟交换机，将虚拟客户端所连接的端口恢复到初始状态。
53.在本实施例中，一个完整的透明接入过程还可以包括将透明接入设备从网络靶场拆除，其具体包括：
54.s6选择需要拆除的透明接入的网络设备；
55.s7基于需要拆除的网络设备的逻辑位置，对现有网络的拓扑结构进行重新计算，识别透明接入设备流量流入端和流量流出端的端口的子网标签；
56.s8将透明接入设备流量流入端的子网标签的值作为需要拆除的流量标签；
57.s9对现有网络的环境配置进行采集和备份；
58.s10基于步骤s8获得的需要拆除的流量标签，拆除步骤s6中选择的网络设备。
59.实施例二
60.如图3所示，在一个示例性地网络靶场的虚拟环境中，规划在虚拟客户端与虚拟交换机之间以透明的方式接入虚拟网络设备。在本实施例的虚拟环境中，没有物理网线，流量的转发是通过软件模拟实现的，控制的中心被称作网络靶场的调度中心，为了透明接入虚拟设备，调度中心会逻辑上在虚拟交换机和虚拟设备之间添加一台新增虚拟交换机，以虚拟交换机为中心，将拓扑分为a、b、c三个部分：a部分是虚拟客户端部分；b部分是虚拟交换机上与虚拟客户端同一广播域的其他设备部分，在图3中，用虚拟服务器代表，b部分使用流量标签t0；c部分是为了透明接入虚拟设备新增的虚拟交换机和需要透明接入的设备。
[0061][0062]
表1网络靶场虚拟设备透明接入端口类型与子网标签说明表
[0063]
如表1所示，调度中心会为图1中的p1，p2，p3，p4，p5和pn配置不同的端口类型和流量标签，配置成功后即实现了虚拟设备的透明接入。
[0064]
进一步的，如图4所示，网络靶场的清场作业即网络靶场虚拟设备透明拆除的过程如下：
[0065]
步骤一：调度中心收集透明拆除虚拟设备的逻辑位置；
[0066]
步骤二：拆除规划，确定需要被拆除的虚拟交换机和虚拟设备，以及明确需要恢复的虚拟客户端；
[0067]
步骤三：确定虚拟客户端需要重新恢复的流量标签和透明拆除设备(新增虚拟交换机和虚拟设备)所归属的流量标签；
[0068]
步骤四：将虚拟客户端所连接的端口恢复到流量标签t0，将虚拟设备以及与之连接的虚拟交换机删除。这样即实现了将虚拟网络设备透明拆除网络靶场的目的。
[0069]
如图5所示，在本实施例中还具有拆除网络靶场的过程，其具体包括：
[0070]
步骤一：用户选择需要拆除的网络设备，根据虚拟设备和物理设备分别做设备规划；
[0071]
步骤二：根据需要拆除设备的位置，对现有拓扑结构进行重新计算，识别透明接入设备流量流入端和流量流出端端口的子网标签，；
[0072]
步骤三：确定需要去除的流量标签，即透明接入设备流量流入端的子网标签值；
[0073]
步骤四：对现有环境配置进行采集、备份，并对拆除网络靶场后产生的影响进行分析；
[0074]
步骤五：将标签策略下发到交换设备；若拆除设备失败，则重新对拆除网络靶场后产生的影响进行分析，然后再次下发标签策略，直至设备成功拆除。至此，即完成在网络靶场虚拟环境中透明接入网络设备的目标。
[0075]
综上所述，本发明提供的一种网络靶场设备透明接入的方法，为需要透明接入的
虚拟设备新增一台虚拟交换机，为新增的虚拟交换机设计的两个端口分配不同字网标签，整体并实施透明接入和透明拆除，实现网络靶场设备的透明接入。本发明提供的方法，相比sdn流表技术，本发明不会对透明接入的虚拟设备提出额外要求；不会对原网络造成太大影响(仅涉及更改接入端口的子网标签)，虚拟设备接入方便灵活，接入时仅添加接入端口到新子网标签，拆除也方便灵活，拆除时仅将接入端口的子网标签由新子网标签改回原来的子网标签。
[0076]
本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。
[0077]
通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
[0078]
本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
[0079]
以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。