[发明专利]基于MonoSAT的云网络配置分析方法及系统

说明书

本发明公开了一种基于MonoSAT的云网络配置分析方法及系统，用于在云网络用户对云网络进行配置时，通过形式化验证的方法分析根据配置文件信息构建的云网络中节点间的可达性等属性。用户通过输入云网络的配置文件信息和需要验证可达性的节点信息即可获得在该配置文件信息下是否可达的形式化验证结果，以此帮助实现判断用户的配置文件是否与用户的配置意图相符等进一步分析。

技术领域

本发明涉及云网络配置分析领域，尤其涉及一种基于MonoSAT的云网络配置分析方法及系统。

背景技术

在云网络中，配置分析的功能对于云网络的管理来说是必不可少的，例如验证网络行为与网络意图之间的一致性、云网络资源的使用计费等。这些技术需要获取配置的可达性等属性作为辅助信息，帮助做出决策判断。云网络作为一种多租户共享资源的服务，配置分析和验证的功能更值得被关注。因为当某个租户的部分配置信息出现错误，可能会导致云网络资源的不合理分配、租户的云网络功能无法正常使用，甚至影响共享云网络的其他租户。而配置分析则可以帮助租户及时发现配置中存在的问题，避免影响云网络的正常使用。所以，在云网络中部署配置分析功能是至关重要的。

但是，随着云网络规模的不断扩大和云网络复杂度的不断提高，传统的人工测试的配置分析方法面临效率低、要求操作人员具备一定的经验等挑战，无法适应复杂的大规模网络配置分析场景，所以，需要通过自动化的方法对云网络配置进行分析。MonoSAT是一种针对布尔和位向量的单调理论的SAT模理论求解器，它支持广泛的图谓词，如可达性、最短路径等。网络可达性可以建模为网络组件的由一组节点和有向边组成的符号图，从而可以使用MonoSAT进行网络可达性的求解。但是使用MonoSAT进行云网络配置分析存在挑战。首先，需要从用户给定的配置文件信息中，自动提取云网络的拓扑等信息构建适用于MonoSAT分析的图。其次，MonoSAT使用逻辑表达式进行判断，而云网络组件的复杂判断条件，如安全组的匹配条件等，很难使用逻辑表达式进行表述。

综上所述，在云网络配置分析领域设计一种基于MonoSAT的云网络配置分析方法的难度较大。

发明内容

本发明的目的是针对现有技术的不足，设计一套可部署在云网络中的基于MonoSAT的云网络配置分析方法及系统，供云网络配置分析领域使用。

本发明的目的是通过以下技术方案实现的：

根据本说明书的第一方面，提供一种基于MonoSAT的云网络配置分析方法，该方法包括：

接收用户提供的配置文件信息，从所述配置文件信息中获取云网络中的网元组件信息，并推测网元组件之间的拓扑信息；

根据所述网元组件信息创建相应的组件模拟节点，作为MonoSAT图节点；

根据所述拓扑信息，结合数据包在每个节点的可达性判断逻辑表达式，构建MonoSAT图节点间的可达性逻辑边连接；

通过MonoSAT求解器计算源节点和目的节点之间的路径上所有边的可达性逻辑，并将可达性结果反馈给用户。

进一步地，将用户提供的配置信息转化为MonoSAT图的方法步骤如下：

S1：初始化创建MonoSAT图；

S2：读取配置信息，根据不同网元组件的类型及组件编号创建MonoSAT图节点，所述网元组件的类型包括如下：

(1)VPC专有网络：包含VPC的ID、IP和边界路由器等信息，记录VPC中的云服务器、交换机、路由器、NAT网关；

(2)Switch交换机：包含交换机的ID、IP等信息，记录该交换机绑定的ACL访问控制策略和该交换机子网下的云服务器，在图中创建节点；

(3)ECS云服务器：包含云服务器的ID、IP等信息，记录该云服务器绑定的安全组，在图中创建节点；