[发明专利]一种虚实网络灵活可扩展融合的仿真方法

摘要

本发明公开了一种虚实网络灵活可扩展融合的仿真方法，涉及网络模拟仿真技术领域，解决时下网络测试研究方法在规模、逼真度等方面所存在的问题，所述方法包括步骤：搭建OpenStack云计算平台基本环境；基于搭建好的基本环境，添加多个网络节点，为每个网络节点添加多块连接外网的网卡；构建目标虚拟网络；连接实物设备与虚拟网络；根据需要更改或添加流表规则，以达到隔离网络和限制流量的目的。本发明通过提供一种虚实网络灵活可扩展融合的仿真方法，实现搭建一个可灵活配置、可扩展的虚实融合的网络环境，可用于网络安全评估和计算机系统安全评估。

主权项

一种虚实网络灵活可扩展融合的仿真方法，其特征在于，包括以下步骤：S1：搭建OpenStack云计算平台基本环境，其中虚拟交换机使用OVS，各节点之间的通信方式采用Gre，且网络节点应与控制节点相互独立，独立的网络节点将作为虚实互联服务器；搭建好的环境包括一个控制节点、一个网络节点和若干个计算节点；S2：进行扩展搭建中的第一步，基于搭建好的基本环境，添加多个网络节点，新添加的网络节点的功能与基本环境中网络节点的功能完全相同，这些网络节点将会作为虚实互联服务器，通过它们可以灵活接入多个实物设备，实现虚实融合的网络的扩展；S3：进行扩展搭建中的第二步，为每个网络节点添加多块连接外网的网卡，并将新添加的网卡绑定到OVS的br‑ex上，不必为新添加的网卡配置IP地址，这些网卡都将作为实物设备接入虚拟网络的接口，多个外网网卡可实现更大规模、更复杂的实物网络的接入；S4：构建目标虚拟网络，该虚拟网络包括OpenStack虚拟云主机，OpenStack自带的虚拟路由器，以及Open vSwitch虚拟交换机；S5：连接实物设备与虚拟网络构成虚实融合的网络；S6：配置流表规则以保证虚实网络的流量会通过所有的网络节点进行转发，首先需在每个网络节点的br‑ex用命令“ovs‑ofctl add‑flow br‑ex table＝0,priority＝10,in_port＝x,dl_vlan＝y,actions＝drop”丢弃虚拟主机发往实物网络的经过router namespace地址转化后的数据包，in_port后的x根据实际情况修改为br‑ex中phy‑br‑ex端口的编号，该端口为br‑ex与br‑int相连的端口，而y为public network的vlan tag；接着仍然在br‑ex用命令ovs‑ofctl add‑flow br‑ex table＝0,priority＝9,in_port＝x,actions＝strip_vlan,normal实现所有虚拟网络发出的未经过地址转换的流量都能够被发送到实物设备，同样的，in_port后的x根据实际情况修改为br‑ex中phy‑br‑ex端口的编号；然后针对每一个虚拟网络用命令ovs‑ofctl add‑flow br‑int table＝0,priority＝10,in_port＝x,nw_src＝y,actions＝mod_vlan_vid:z,normal实现实物设备发出的包能够被正常转发到目的虚拟主机，其中in_port后的x表示br‑int中int‑br‑ex端口的编号，该端口为br‑int与br‑ex相连的端口，y表示数据包的源地址，z表示y网络在当前网络节点中的vlan tag；br‑int中端口的编号可以用命令ovs‑ofctl show br‑int查询得到，br‑ex中端口的编号可以用命令ovs‑ofctl show br‑ex查询得到，各网络的vlan tag则可以用ovs‑vsctl show得到；S7：针对各虚拟网络，根据实际需要在OVS中更改或添加流表规则，以达到隔离网络和限制流量的目的，命令的一般形式为：ovs‑ofctl add‑flow br‑ex table＝0,priority＝10,in_port＝x,nw_src＝y,actions＝z，其中br‑ex表示该条流表规则将会被添加在OVS中的br‑ex网桥上，可以根据实际情况更改为br‑int或者其他相关网桥，in_port表示数据包进入时所经过的端口的编号，nw_src表示数据包源IP地址，可以根据实际情况更改为数据包目的IP地址nw_dst、数据包源MAC地址dl_src、数据包目的MAC地址dl_dst,actions表示匹配流表后执行的操作，一般可以为“output:n”表示从编号为n的端口发出数据包，drop表示丢弃数据包。