[发明专利]网络靶场系统、网络靶场系统的虚拟网络实现方法及装置

说明书

本申请公开了网络靶场系统、网络靶场系统的虚拟网络实现方法及装置，所述网络靶场系统，包括控制节点和至少两个计算节点，其中：所述控制节点，用于根据存储的逻辑虚拟网络拓扑结构生成逻辑虚拟网络配置数据信息，将接收的所述逻辑虚拟网络配置数据信息转换成OVN逻辑流表信息，并将所述OVN逻辑流表信息发送至各计算节点，其中，所述逻辑虚拟网络拓扑结构至少包括虚拟机和逻辑交换设备，所述逻辑交换设备至少包括逻辑交换机；所述计算节点，用于根据接收的所述OVN逻辑流表信息创建相应的虚拟机，并将所述OVN逻辑流表信息同步至OVS流表中，根据所述OVN逻辑流表信息进行数据报文转发。

技术领域

本申请涉及网络信息技术领域，尤其涉及网络靶场系统、网络靶场系统的虚拟网络实现方法及装置。

背景技术

网络靶场是一种基于虚拟化技术对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现的技术，可以更有效地实现与网络安全相关的学习、研究、检验、竞赛、演戏等行为，从而提高用户的网络安全对抗水平。

网络靶场系统的基础设施主要包括虚拟机和虚拟交换设备，为了提高网络安全，还可以在网络靶场系统中加入虚拟安全设备(如虚拟防火墙等)，其中，虚拟交换设备主要包括虚拟交换机和虚拟路由器，虚拟交换设备用于连通虚拟机与虚拟机之间的通信网络(如网络靶场系统中包含虚拟安全设备，虚拟交换设备还用于连通虚拟机与虚拟安全设备之间的通信网络)。各虚拟设备均依托于网络靶场系统在宿主机上进行构建，各虚拟设备均会占用宿主机的资源，宿主机的总资源和单个虚拟设备所占用的资源直接决定了一台宿主机能够仿真的虚拟设备的数量(即虚拟网络规模的大小)。为了实现网络靶场系统中基本的二三层网络、虚实互联、DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)等功能，以及细粒度的网络隔离、流量控制等，需对虚拟交换设备进行统一的管理控制与配置。

现有的网络靶场系统中的以OpenWRT作为三层路由设备结合OVS(Open VSwitch，开放虚拟交换机)实现虚拟网络的二三层网络通信方式中，OpenWRT是一个面向嵌入式设备的Linux操作系统，在虚拟网络中可以作为虚拟交换设备使用，由于OpenWRT和OVS需要消耗一定的宿主机资源，并且在控制层面上，OpenWRT不支持现下主流的南向配置协议，在网络靶场系统的统一管理控制上存在一定的难度。

现有的以SDN(Software Defined Network，软件定义网络)控制器，如ODL(OpenDaylight，是一个基于SDN开发的模块化、可扩展、可升级、支持多协议的控制器框架)、RYU(一种开源SDN控制器)等作为控制器，结合相关虚拟交换设备的方式以实现网络靶场系统中的虚拟网络通信方式，虽然在一定程度上可以实现网络靶场系统的统一管理控制，但是由于这些SDN控制器功能冗余功能较多，架构庞大，维护困难，同时虚拟交换设备消耗宿主机资源。

现有的以OpenStack(OpenStack是一个开源的云计算管理平台项目)的Neutron(Neutron是OpenStack核心项目之一，提供云计算环境下的虚拟网络功能)模块作为虚拟网络调度模块，以实现网络靶场系统的虚拟网络通信的方式中，由于Neutron作为开源项目，其冗余功能较多，且其漏洞容易被利用，存在安全风险。

发明内容

为了解决现有的网络靶场系统的虚拟网络通信的实现方式消耗宿主机资源且存在安全风险的问题，本申请实施例提供了一种网络靶场系统、网络靶场系统的虚拟网络实现方法及装置。

第一方面，本申请实施例提供了一种网络靶场系统，包括控制节点和至少两个计算节点，其中：

所述控制节点，用于根据存储的逻辑虚拟网络拓扑结构生成逻辑虚拟网络配置数据信息，将所述逻辑虚拟网络配置数据信息转换成开放虚拟网络OVN逻辑流表信息，并将所述OVN逻辑流表信息发送至各计算节点，其中，所述逻辑虚拟网络拓扑结构至少包括虚拟机和逻辑交换设备，所述逻辑交换设备至少包括逻辑交换机；