[发明专利]一种基于OpenStack和SDN技术的大规模虚拟网络构建方法

说明书

本发明涉及一种基于OpenStack和SDN技术的大规模虚拟网络构建方法，此方法利用OpenStack整合各种物理资源的能力，创建出远大于物理主机数量的虚机，在创建的每个虚机上，通过Mininet构建SDN虚拟网络，并通过建立Vxlan隧道的方式实现不同虚机上的多个Mininet网络的互联，从而构建出一个大规模的虚拟网络。同时，每个虚机上的Mininet网络都连接至一个共同的ONOS控制器上，对构建的大规模虚拟网络进行统一监控与管理。

技术领域

本发明涉及一种基于OpenStack和SDN技术的大规模虚拟网络构建方法。

背景技术

网络空间对抗形势日趋严峻，网络攻防已成为各国网络攻防对抗的主要内容。网络环境已由单纯互联网发展到了泛在网络空间，攻击方式也由单一模式朝着复杂的高级持续性威胁 (AdvancedPersistentThreat,APT)攻击方向发展。

网络靶场是针对网络攻防演练和网络新技术评测的重要基础设施,主要供政府和军队部门使用，用来提高网络和信息系统的稳定性、安全性和性能。世界各国均高度重视网络靶场建设，将其作为支撑网络空间安全技术验证、网络武器试验、攻防对抗演练和网络风险评估的重要手段。

网络靶场的发展可以分为三个阶段：

第一阶段是以21世纪初期针对单独的木马类攻击武器而建立的实物高逼真型靶标时期。在此阶段,各国以敌方的靶标软硬件平台为目标,建立尽可能逼真的靶标软硬件平台,用于测试己方新研制的攻击武器能否成功绕过敌方的防护软件,主要包括早期的蜜罐系统、木马测试系统等。

第二阶段是以2005年开始的小型虚拟化互联网靶场时期。在此阶段，云计算、软件定 义网络等虚拟技术是该阶段的主流技术，拟真实的互联网攻防作战提供虚拟环境是各个国家 的主要目标，但模拟的互联网规模都比较小。主要包括:2005年美军联合参谋部组织建设的 “联合信息作战靶场”(Information Operations Range,IOR)，2009年美国国防部国防高级研究 计划局牵头建立的“国家网络靶场”(National Cyber Range,NCR)[3]，2010年美军国防信息系 统局组织建设的“国防部网络安全靶场”(GIG，GlobalInformation Grid)；2010年英国国防部 正式启用了由诺·格公司研制的“网络安全试验靶场”。

第三阶段是2014年开始的支撑泛在网的大型虚实结合网络空间靶场时期。在此阶段，“震网”、“火焰”等针对工控网的新型网络攻击突现，各国纷纷开始研究虚实结合的网络空间靶场技术。主要包括：2014年美国国家靶场增加了法拉第罩进行无线发射设备的测试，并支持移动计算设备；2014年6月，北大西洋公约组织在塔林建立NATO的网络靶场，支持工控网的攻防测试；2015年7月，欧洲防务署批准建立网络攻防测试靶场，标志着EDA靶场工程的启动。

为了保证国家安全,为了加快向网络强国迈进的步伐，为了在未来的网络战中占据有利的位置，建立新一代的虚实结合的大型网络靶场项目,对网络靶场和网络战从理论和实践上进行深入研究，具有重要的现实意义。

发明内容

针对上述问题，本发明的目的是提供一种基于OpenStack和SDN技术的大规模虚拟网络构建方法，用于构建大规模虚拟网络靶场，用户可以根据不同网络攻击场景，自定义网络的拓扑和规模，并且可以轻松实现网络拓扑的重构。为实现上述目的，本发明采取以下技术方案：

一种基于OpenStack和SDN技术的大规模虚拟网络构建方法，此方法利用OpenStack 整合各种物理资源的能力，创建出远大于物理主机数量的虚机，在创建的每个虚机上，通过 Mininet构建SDN虚拟网络，并通过建立Vxlan隧道的方式实现不同虚机上的多个Mininet 网络的互联，从而构建出一个大规模的虚拟网络。同时，每个虚机上的Mininet网络都连接至一个共同的ONOS控制器上，对构建的大规模虚拟网络进行统一监控与管理。