[发明专利]网络靶场大规模网络环境的网络设备配置系统与方法

说明书

本发明公开了一种网络靶场大规模网络环境的网络设备配置系统与方法，包括虚拟机管理、网络设备管理、指令分解与合并以及指令执行模块。指令执行模块在配置前获取网络设备的配置镜像并初始化连接池和指令执行线程池，网络设备管理模块判断虚拟机管理模块的配置请求是否合法，构建执行指令序列并将指令执行的效果直接反映到网络设备配置镜像中；指令分解与合并模块将指令分解到对应的指令执行队列中并建立依赖关联；最后由指令执行模块并行执行指令执行线程池，完成环境构建。本发明采用指令依赖检测并发执行方式极大提高了配置指令执行效率，通过网络设备配置镜像避免了重复的网络设备配置信息查询，实现了网络靶场大规模网络环境的高效构建。

技术领域

本发明涉及一种网络靶场大规模网络环境的网络设备配置系统与方法，属于网络技术领域。

背景技术

网络靶场是指通过虚拟环境与真实设备相结合，模拟仿真出真实网络空间攻防作战环境，能够支撑作战能力研究和武器装备验证的试验平台。随着信息时代的不断发展，网络环境日益复杂，对网络靶场的大规模网络环境的仿真和模拟以及环境的快速部署提出了要求。

网络靶场的部署图如图1所示，网络靶场通过多个多种实体网络设备连接控制节点、计算节点、互联网，网络靶场通过网络拓扑形成网络。目前网络靶场的网络环境构建步骤主要包括：用户创建场景编排拓扑图并导入网络靶场；控制节点根据拓扑图向计算节点发送创建虚拟机指令，轮询计算节点虚拟机的创建状态，并获取虚拟机创建完毕后的网络配置信息；控制节点与网络设备（如交换机、路由器）建立管理连接（连接方式如SSH、Telnet等），根据网络配置请求查询网络设备可用参数（如ACL规则记录，获取可用的规则索引号）；控制节点根据网络配置请求及网络设备可用参数构建出完成请求的网络设备执行指令序列，并根据生成的执行指令序列完成执行。对于网络靶场大规模网络环境的构建，存在如下问题：

1、单一的网络设备管理连接，网络设备配置管理资源利用率低。现有技术方案下，为防止并发连接控制导致的操作冲突，控制节点对网络设备建立单一的管理连接，无法充分利用网络设备的配置管理资源。

2、大量配置请求拥塞，低效的网络设备配置性能，影响网络构建速度。在大规模网络环境构建中，并行的虚拟机创建，将导致大量的虚拟机在同一时间段完成创建，大量的网络设备配置请求滞留在串行的网络设备配置队列中，随着网络环境规模不断扩大，网络设备的配置效率将成为制约网络靶场快速构建网络的主要瓶颈。

3、重复的网络设备配置信息查询操作，管理连接有效带宽占比低下。每次网络设备配置请求的到来，控制节点都将查询网络设备状态，以获取可使用的配置资源，如地址池的索引编号、ACL的编号等。

4、网络设备配置请求相互独立，解析后存在重复指令，效率低下。

发明内容

发明目的：针对上述现有技术存在的问题，本发明的目的在于提供一种网络靶场大规模网络环境的网络设备配置系统与方法，以提升配置效率、降低配置请求响应时间、提高网络设备配置资源利用率，实现网络靶场大规模网络环境的高效构建。

技术方案：为实现上述发明目的，本发明采用如下技术方案：

一种网络靶场大规模网络环境的网络设备配置系统，包括虚拟机管理模块、网络设备管理模块、指令分解与合并模块以及指令执行模块；

所述虚拟机管理模块，用于根据网络靶场场景拓扑图向计算节点并行发送创建虚拟机指令，并获取虚拟机创建完毕后的网络配置信息；以及向所述网络设备管理模块发送虚拟机基于网络设备的配置请求；

所述网络设备管理模块，用于根据网络设备配置镜像的记录及配置限制判断虚拟机管理模块发送的配置请求是否合法，对于有冲突的配置请求直接返回错误，对于合法的配置请求构建执行指令序列，保存到指令队列，并将指令执行的效果直接反映到网络设备配置镜像中；