[发明专利]基于MonoSAT的云网络配置分析方法及系统

权利要求书

1.一种基于MonoSAT的云网络配置分析方法，其特征在于，包括：

接收用户提供的配置文件信息，从所述配置文件信息中获取云网络中的网元组件信息，并推测网元组件之间的拓扑信息；

根据所述网元组件信息创建相应的组件模拟节点，作为MonoSAT图节点；

根据所述拓扑信息，结合数据包在每个节点的可达性判断逻辑表达式，构建MonoSAT图节点间的可达性逻辑边连接；

通过MonoSAT求解器计算源节点和目的节点之间的路径上所有边的可达性逻辑，并将可达性结果反馈给用户。

2.根据权利要求1所述的基于MonoSAT的云网络配置分析方法，其特征在于，将用户提供的配置信息转化为MonoSAT图的方法步骤如下：

S1：初始化创建MonoSAT图；

S2：读取配置信息，根据不同网元组件的类型及组件编号创建MonoSAT图节点，所述网元组件的类型包括专有网络、交换机、云服务器、路由器、安全组、访问控制策略、路由表、负载均衡、NAT网关和互联网；

S3：根据推测的网元组件之间的拓扑信息，结合数据包在每个节点的可达性判断逻辑表达式，构建MonoSAT图节点间的可达性逻辑边连接。

3.根据权利要求1所述的基于MonoSAT的云网络配置分析方法，其特征在于，所述MonoSAT图中节点之间的连接方法如下：

对于在推测的拓扑信息中连接的源节点和目的节点，根据源节点和目的节点之间路径上的每个节点的可达性判断逻辑表达式，建立能够从源节点传送至目的节点的逻辑判断表达式，以边的形式记录在MonoSAT图中；

MonoSAT求解器进行可达性判断时，如果数据包在两个节点间可达，则边存在，反之不存在，从而建立真实可达的MonoSAT图。

4.根据权利要求1所述的基于MonoSAT的云网络配置分析方法，其特征在于，所述网元组件的类型为安全组时，在对应节点的可达性判断逻辑表达式的创建规则如下：

将安全组的规则转化为逻辑表达式，将安全组的规则分为允许、拒绝和未在规则中配置的；节点入规则和出规则分别匹配；

逐条读取安全组规则，按照优先级从高到低排序，每一优先级允许通过的IP地址、端口、协议类型范围是不在高优先级已经匹配的范围内，并且在当前优先级匹配范围内，被允许通过且未被拒绝的范围；最后被允许通过的范围为每一优先级允许通过范围的并集。

5.根据权利要求1所述的基于MonoSAT的云网络配置分析方法，其特征在于，所述网元组件的类型为路由表时，在对应节点的可达性判断逻辑表达式的创建规则如下：将路由表的路由条目转化为逻辑表达式，逐条读取路由条目，被允许通过的目的地址范围是被配置的路由条目地址的并集。

6.根据权利要求1所述的基于MonoSAT的云网络配置分析方法，其特征在于，所述网元组件的类型为负载均衡时，在对应节点的可达性判断逻辑表达式的创建规则如下：负载均衡逐条读取监听条目，如果监听处于白名单且监听不属于黑名单，则允许数据包通过。

7.根据权利要求1所述的基于MonoSAT的云网络配置分析方法，其特征在于，所述MonoSAT图中节点间可达性逻辑边的连接类型如下：

根据云服务器的IP和交换机子网网络地址信息连接交换机和云服务器；

根据交换机路由表信息连接和交换机相连的节点；

根据路由器的路由表连接和路由器相连的节点；

根据负载均衡的监听信息连接和负载均衡相连的节点。

8.根据权利要求1所述的基于MonoSAT的云网络配置分析方法，其特征在于，所述MonoSAT求解器根据MonoSAT图的拓扑结构，自动计算给定源地址、端口和目的地址、端口间在给定协议类型下的可达性，返回可达性结果。