CN116962139A - 云平台靶场智能调用外部物理设备的虚实结合处理系统、方法、装置、处理器及其存储介质 - Google Patents
云平台靶场智能调用外部物理设备的虚实结合处理系统、方法、装置、处理器及其存储介质 Download PDFInfo
- Publication number
- CN116962139A CN116962139A CN202310941639.9A CN202310941639A CN116962139A CN 116962139 A CN116962139 A CN 116962139A CN 202310941639 A CN202310941639 A CN 202310941639A CN 116962139 A CN116962139 A CN 116962139A
- Authority
- CN
- China
- Prior art keywords
- virtual
- network
- cloud platform
- real combination
- physical equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012545 processing Methods 0.000 title claims abstract description 33
- 238000000034 method Methods 0.000 title abstract description 20
- 238000004088 simulation Methods 0.000 claims abstract description 39
- 238000003672 processing method Methods 0.000 claims description 18
- 238000012546 transfer Methods 0.000 claims description 16
- 238000004891 communication Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000011160 research Methods 0.000 abstract description 7
- 230000006870 function Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 238000001914 filtration Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/044—Network management architectures or arrangements comprising hierarchical management structures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/084—Configuration by using pre-existing information, e.g. using templates or copying from other elements
- H04L41/0843—Configuration by using pre-existing information, e.g. using templates or copying from other elements based on generic templates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Abstract
本发明涉及一种云平台靶场智能调用外部物理设备的虚实结合处理系统,其中,该系统将云平台靶场网络从功能上划分为管理网络、计算网络、存储网络与虚实结合接入网络,管理网络用于传输云平台的相关管理指令;计算网络用于应用到仿真环境中各种二层网络、公有网络与私有网络中;存储网络用于在通过模版实例化仿真场景时,从镜像服务器下载模版进行实例化处理;虚实结合接入网络用于连接各种外部物理设备。本发明还涉及一种相应的方法、装置、处理器及其存储介质。采用了本发明的该云平台靶场智能调用外部物理设备的虚实结合处理系统、方法、装置、处理器及其存储介质,为安全研究提供便利,为物联网、智能家居、工控等复杂场景的仿真提供技术支撑。
Description
技术领域
本发明涉及云平台网络架构设计技术领域,尤其涉及虚拟网络设备自动化调度技术领域,具体是指一种云平台靶场智能调用外部物理设备的虚实结合处理系统、方法、装置、处理器及其计算机可读存储介质。
背景技术
云计算平台通过VLAN、VXLAN等技术,实现虚拟化设备与物理设备之间的通信,通常应用于将核心业务运行在物理设备上保留传统物理设备安全性和可靠性,同时利用云计算虚拟化的便利,将需要弹性扩展的负载放在云端的企业应用场景中。但是此种虚实结合的方式,物理设备接入虚拟网络的位置固定,需进行定制化配置,无法做到同时启动多套相同的虚实结合场景,并根据所需的设备类型,智能选择空闲的物理设备接入到云平台虚拟网络的任意位置。
发明内容
本发明的目的是克服了上述现有技术的缺点,提供了一种使用虚实结合技术将大量物理设备进行统一管理的云平台靶场智能调用外部物理设备的虚实结合处理系统、方法、装置、处理器及其计算机可读存储介质。
为了实现上述目的,本发明的云平台靶场智能调用外部物理设备的虚实结合处理系统、方法、装置、处理器及其计算机可读存储介质如下:
该云平台靶场智能调用外部物理设备的虚实结合处理系统,其主要特点是,所述的系统将云平台靶场网络从功能上划分为管理网络、计算网络、存储网络与虚实结合接入网络,其中,
所述的管理网络用于传输云平台的相关管理指令;
所述的计算网络用于应用到仿真环境中的各种二层网络、公有网络与私有网络中,并连接通过模版启动的虚拟机;
所述的存储网络用于在通过模版实例化仿真场景时,从镜像服务器下载模版进行实例化处理;以及
所述的虚实结合接入网络用于连接各种外部物理设备。
较佳地,所述的管理网络的物理交换机与所有私有云服务器相连接,并启动仿真环境中的虚拟服务器、中转服务器和虚拟网络,并设置对应服务器虚拟资源规格,且用于调用管理相关的指令均通过所述的管理网络进行传输。
较佳地,所述的计算网络的物理交换机与所有私有云服务器相连接,且外部防火墙设备和所有访问私有云上虚拟资源的网络流量均将通过所述的计算网络进行传输。
较佳地,所述的存储网络的物理交换机与分布式存储服务器以及所有私有云服务器相连接,且所述的存储网络上的流量用于为仿真环境在调用分布式存储的镜像服务器上镜像模版资源时的镜像传输流量。
较佳地,所述的虚实结合接入网络的主物理交换机主要用于区分接入的外部物理设备类型,且子物理交换机通过连接主物理交换机端口并下接具体的物理设备,以此便于后期接入设备的扩展。
较佳地,所述的计算网络上的物理交换机与所述的虚实结合接入网络的物理交换机同时与防火墙设备相连接,所述的防火墙设备通过设置规则策略,使得所述的虚实结合接入网络的物理交换机的所有端口上的网段均与所述的计算网络的公有网络、私有网络进行数据通信。
该利用上述系统实现云平台靶场智能调用外部物理设备的虚实结合处理方法,其主要特点是,所述的方法包括以下步骤:
(1)根据不同类型物理设备在访问时所需提供的端口服务,生成中转虚拟服务器;
(2)启动云平台仿真场景,并判断当前识别场景是否存在物理设备,如果是,则进入步骤(3),否则,直接正常启动虚拟化场景;
(3)判断当前存在的物理设备的空闲数量是否大于预设数值,如果是,则进入步骤(4),否则,直接返回对应物理设备无空闲待用数量;
(4)获取场景网络拓扑中对应的空闲物理设备的ip地址,并根据该ip地址生成Cloud-init初始化命令从而启动中转机;
(5)所述的云平台将根据仿真场景中的物理设备类型自动选择对应的中转机,并通过Cloud-init初始化命令获取转发策略的目的地址;
(6)用户通过所述的云平台访问所需的物理设备。
较佳地,所述的步骤(1)具体为:
根据不同类型物理设备在访问时所需提供的端口服务,编写对应的iptables转发策略,生成中转虚拟服务器,且服务器系统默认关闭其他无关服务,不同类型的物理设备配备不同的中转机。
较佳地,所述的步骤(5)具体为:
所述的云平台将根据仿真场景中的物理设备类型进行自动选择对应的中转机,所述的中转机中连接物理设备的目的地址通过metadata配置信息带入,并通过云平台Cloud-init调用将其自动写入iptables转发策略的目的地址。
该实现云平台靶场智能调用外部物理设备的虚实结合处理的装置,其主要特点是,所述的装置包括:
处理器,被配置成执行计算机可执行指令;
存储器,存储一个或多个计算机可执行指令,所述的计算机可执行指令被所述的处理器执行时,实现上述所述的云平台靶场智能调用外部物理设备的虚实结合处理方法的步骤。
该实现云平台靶场智能调用外部物理设备的虚实结合处理的处理器,其主要特点是,所述的处理器被配置成执行计算机可执行指令,所述的计算机可执行指令被所述的处理器执行时,实现上述所述的云平台靶场智能调用外部物理设备的虚实结合处理方法的步骤。
该计算机可读存储介质,其主要特点是,其上存储有计算机程序,所述的计算机程序可被处理器执行以实现上述所述的云平台靶场智能调用外部物理设备的虚实结合处理方法的步骤。
采用了本发明的该云平台靶场智能调用外部物理设备的虚实结合处理系统、方法、装置、处理器及其计算机可读存储介质,在进行网络安全技术研究、网络安全竞赛等场合中,如遇到指定品牌摄像头、智能手机、智能电视、工控PLC等设备时,需使用虚实结合技术将大量物理设备统一管理,并通过仿真场景的方式提供给研究人员或者竞赛人员,使其只需连接云平台的公有网络接入端口,就可以访问到场景中对应的物理设备,可同时启动多套隔离仿真环境提供多位研究或竞赛人员使用。为安全研究提供便利,为物联网、智能家居、工控等复杂场景的仿真提供技术支撑。
附图说明
图1为本发明的云平台靶场智能调用外部物理设备的虚实结合处理系统的总体架构图。
图2为本发明的实现云平台靶场智能调用外部物理设备的虚实结合处理方法的流程图。
具体实施方式
为了能够更清楚地描述本发明的技术内容,下面结合具体实施例来进行进一步的描述。
在详细说明根据本发明的实施例前,应该注意到的是,在下文中,术语“包括”、“包含”或任何其他变体旨在涵盖非排他性的包含,由此使得包括一系列要素的过程、方法、物品或者设备不仅包含这些要素,而且还包含没有明确列出的其他要素,或者为这种过程、方法、物品或者设备所固有的要素。
请参阅图1所示,该云平台靶场智能调用外部物理设备的虚实结合处理系统,其中,所述的系统将云平台靶场网络从功能上划分为管理网络、计算网络、存储网络与虚实结合接入网络,其中,
所述的管理网络用于传输云平台的相关管理指令;
所述的计算网络用于应用到仿真环境中的各种二层网络、公有网络与私有网络中,并连接通过模版启动的虚拟机;
所述的存储网络用于在通过模版实例化仿真场景时,从镜像服务器下载模版进行实例化处理;以及
所述的虚实结合接入网络用于连接各种外部物理设备。
作为本发明的优选实施方式,所述的管理网络的物理交换机与所有私有云服务器相连接,并启动仿真环境中的虚拟服务器、中转服务器和虚拟网络,并设置对应服务器虚拟资源规格,且用于调用管理相关的指令均通过所述的管理网络进行传输。
作为本发明的优选实施方式,所述的计算网络的物理交换机与所有私有云服务器相连接,且外部防火墙设备和所有访问私有云上虚拟资源的网络流量均将通过所述的计算网络进行传输。
作为本发明的优选实施方式,所述的存储网络的物理交换机与分布式存储服务器以及所有私有云服务器相连接,且所述的存储网络上的流量用于为仿真环境在调用分布式存储的镜像服务器上镜像模版资源时的镜像传输流量。
作为本发明的优选实施方式,所述的虚实结合接入网络的主物理交换机主要用于区分接入的外部物理设备类型,且子物理交换机通过连接主物理交换机端口并下接具体的物理设备,以此便于后期接入设备的扩展。
作为本发明的优选实施方式,所述的计算网络上的物理交换机与所述的虚实结合接入网络的物理交换机同时与防火墙设备相连接,所述的防火墙设备通过设置规则策略,使得所述的虚实结合接入网络的物理交换机的所有端口上的网段均与所述的计算网络的公有网络、私有网络进行数据通信。
该利用上述所述的系统实现云平台靶场智能调用外部物理设备的虚实结合处理方法,其中,所述的方法包括以下步骤:
(1)根据不同类型物理设备在访问时所需提供的端口服务,生成中转虚拟服务器;
(2)启动云平台仿真场景,并判断当前识别场景是否存在物理设备,如果是,则进入步骤(3),否则,直接正常启动虚拟化场景;
(3)判断当前存在的物理设备的空闲数量是否大于预设数值,如果是,则进入步骤(4),否则,直接返回对应物理设备无空闲待用数量;
(4)获取场景网络拓扑中对应的空闲物理设备的ip地址,并根据该ip地址生成Cloud-init初始化命令从而启动中转机;
(5)所述的云平台将根据仿真场景中的物理设备类型自动选择对应的中转机,并通过Cloud-init初始化命令获取转发策略的目的地址;
(6)用户通过所述的云平台访问所需的物理设备。
作为本发明的优选实施方式,所述的步骤(1)具体为:
根据不同类型物理设备在访问时所需提供的端口服务,编写对应的iptables转发策略,生成中转虚拟服务器,且服务器系统默认关闭其他无关服务,不同类型的物理设备配备不同的中转机。
作为本发明的优选实施方式,所述的步骤(5)具体为:
所述的云平台将根据仿真场景中的物理设备类型进行自动选择对应的中转机,所述的中转机中连接物理设备的目的地址通过metadata配置信息带入,并通过云平台Cloud-init调用将其自动写入iptables转发策略的目的地址。
在实际应用当中,本技术方案的云平台靶场网络从功能上可将其分为管理网络、计算网络、存储网络与虚实结合接入网络四部分。其中管理网络主要用于传输云平台的相关管理指令;存储网络主要用于通过模版实例化仿真场景时,从镜像服务器下载模版进行实例化;计算网络主要用于仿真环境中的各种二层网络、公有网络与私有网络,连接通过模版启动的虚拟机;虚实结合接入网络主要用于连接各种外部物理设备。
管理网络:该网络的物理交换机连接所有私有云服务器,启动仿真环境中的虚拟服务器、中转服务器、虚拟网络,设置对应服务器虚拟资源规格,调用Cloud-init指令等管理相关命令都通过管理网络进行传输,此处对部分指令的功能进行解释说明:
Cloud-init:为云环境中的虚拟机进行初始化操作,从平台数据源中读取相关数据并据此对虚拟机进行定制化配置。
Metadata:该服务可向云平台虚拟机提供诸如:主机名、SSH密钥、配置等信息,用于定制化启动虚拟机。
iptables:为Linux内核集成的IP数据包过滤工具,基于包过滤规则控制网络流量。
计算网络:该网络的物理交换机连接所有私有云服务器,并与外部防火墙设备,所有访问私有云上虚拟资源的网络流量都将通过计算网络进行传输。
存储网络:该网络的物理交换机连接分布式存储服务器以及所有私有云服务器,该网络上的流量主要为仿真环境在调用分布式存储的镜像服务器上镜像模版资源时的镜像传输流量。
虚实结合接入网络:该网络的主物理交换机主要负责区分接入的外部物理设备类型。每个交换机端口通过命令批量赋予其不同的网段,只有配置对应网段的地址时才能正确连接,子物理交换机连接主物理交换机端口并下接具体的物理设备,此种方式便于后期的接入设备扩展;交换机任意两个端口之间的连接通过规则进行限制,不同端口的物理设备之间逻辑隔离,不同主交换机端口上连接不同类型的物理设备,相同类型的多个物理设备连接在该端口下的子物理交换机上。在云平台靶场建设初期,物理设备较少时可仅使用主物理交换机。例如:当前接入两个不同类型的物理设备,其端口上对应的网段分别为25.25.100.x与25.25.101.x,分配的IP地址分别为25.25.100.2与25.25.101.2,该两个物理设备之间相互不能联通。
四个部分的网络进行合理区分之后,避免某种功能的网络流量阻塞时,影响其他功能的流量;例如:仿真环境中存在DDOS流量时,可能造成计算网络阻塞,但进行网络划分之后,该部分的流量不会影响到存储网络、管理网络以及虚实结合网络中的其他功能的流量。
其中计算网络的物理交换机与虚实结合接入网络的物理交换机同时连接防火墙设备,防火墙设备设置规则策略实现虚实结合接入网络交换机所有端口上的网段可与虚拟网络的公有网络、私有网络进行数据通信。
如图2所示,本技术方案的云平台靶场调用外部物理设备的启动流程如下:
步骤一,根据不同类型物理设备在访问时所需提供的端口服务,编写对应的iptables转发策略,生成中转虚拟服务器,服务器系统默认关闭其他无关服务。不同类型的物理设备配备不同的中转机。例如:当前的物理设备仅需提供80端口的服务时,可设置策略为“iptables-t nat-A PREROUTING-p tcp--dport 80-j DNAT--to-destination IP:80”,此处的IP通过Cloud-init在系统启动时带入。
步骤二,启动仿真场景时,识别场景是否存在物理设备;
步骤三,存在物理设备时,查询是否存在空闲的对应物理设备;
步骤四,存在空闲的对应物理设备时,根据场景网络拓扑中物理设备的对应IP地址通过Cloud-init初始化命令启动中转机。
步骤五,云平台将根据仿真场景中的物理设备类型进行自动选择对应的中转机。中转机中连接物理设备的目的地址通过metadata配置信息带入,并通过云平台Cloud-init调用将其自动写入iptables转发策略的目的地址。
步骤六,仿真环境启动完毕,用户即可通过环境中物理设备配置的虚拟网络IP地址对物理设备进行访问。用户无感知访问仿真场景物理设备示意可见图2。
在本发明的一具体实施例中,本技术方案具体的实施如下所示:
将一台摄像头设备连接上虚实结合接入交换机的1号端口,其对应分配的IP地址为25.25.100.33,摄像头设备仅需提供80端口的HTTP服务。
编制中转机,在中转机上设置将访问本机80端口的服务转发到[dstip]上的策略,dstip为cloud-init初始化启动中转机时带入的IP地址。
通过云平台的拖拽式网络拓扑编辑器绘制一个带有摄像头设备的物联网场景并保存成云平台场景模版,摄像头在该场景中的ip地址为192.168.1.3。
启动云平台场景模版,启动后识别到1号端口上的设备当前空闲,获取其IP地址25.25.100.33,将该地址写入cloud-init命令中,通过cloud-init启动中转机并将其IP设置为192.168.1.3。cloud-init将自动填写iptables策略中的dstip字段为25.25.100.33,并启用该策略。
用户访问192.168.1.3的80端口时,将能正确访问摄像头,并得到摄像头所提供的信息。
该实现云平台靶场智能调用外部物理设备的虚实结合处理的装置,其中,所述的装置包括:
处理器,被配置成执行计算机可执行指令;
存储器,存储一个或多个计算机可执行指令,所述的计算机可执行指令被所述的处理器执行时,实现上述所述的云平台靶场智能调用外部物理设备的虚实结合处理方法的步骤。
该实现云平台靶场智能调用外部物理设备的虚实结合处理的处理器,其中,所述的处理器被配置成执行计算机可执行指令,所述的计算机可执行指令被所述的处理器执行时,实现上述所述的云平台靶场智能调用外部物理设备的虚实结合处理方法的步骤。
该计算机可读存储介质,其中,其上存储有计算机程序,所述的计算机程序可被处理器执行,以实现上述所述的云平台靶场智能调用外部物理设备的虚实结合处理方法的步骤。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行装置执行的软件或固件来实现。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成的,程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一实施例”、“一些实施例”、“示例”、“具体示例”、或“实施例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
采用了本发明的该云平台靶场智能调用外部物理设备的虚实结合处理系统、方法、装置、处理器及其计算机可读存储介质,在进行网络安全技术研究、网络安全竞赛等场合中,如遇到指定品牌摄像头、智能手机、智能电视、工控PLC等设备时,需使用虚实结合技术将大量物理设备统一管理,并通过仿真场景的方式提供给研究人员或者竞赛人员,使其只需连接云平台的公有网络接入端口,就可以访问到场景中对应的物理设备,可同时启动多套隔离仿真环境提供多位研究或竞赛人员使用。为安全研究提供便利,为物联网、智能家居、工控等复杂场景的仿真提供技术支撑。
在此说明书中,本发明已参照其特定的实施例作了描述。但是,很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此,说明书和附图应被认为是说明性的而非限制性的。
Claims (12)
1.一种云平台靶场智能调用外部物理设备的虚实结合处理系统,其特征在于,所述的系统将云平台靶场网络从功能上划分为管理网络、计算网络、存储网络与虚实结合接入网络,其中,
所述的管理网络用于传输云平台的相关管理指令;
所述的计算网络用于应用到仿真环境中的各种二层网络、公有网络与私有网络中,并连接通过模版启动的虚拟机;
所述的存储网络用于在通过模版实例化仿真场景时,从镜像服务器下载模版进行实例化处理;以及
所述的虚实结合接入网络用于连接各种外部物理设备。
2.根据权利要求1所述的云平台靶场智能调用外部物理设备的虚实结合处理系统,其特征在于,所述的管理网络的物理交换机与所有私有云服务器相连接,并启动仿真环境中的虚拟服务器、中转服务器和虚拟网络,并设置对应服务器虚拟资源规格,且用于调用管理相关的指令均通过所述的管理网络进行传输。
3.根据权利要求1所述的云平台靶场智能调用外部物理设备的虚实结合处理系统,其特征在于,所述的计算网络的物理交换机与所有私有云服务器相连接,且外部防火墙设备和所有访问私有云上虚拟资源的网络流量均将通过所述的计算网络进行传输。
4.根据权利要求1所述的云平台靶场智能调用外部物理设备的虚实结合处理系统,其特征在于,所述的存储网络的物理交换机与分布式存储服务器以及所有私有云服务器相连接,且所述的存储网络上的流量用于为仿真环境在调用分布式存储的镜像服务器上镜像模版资源时的镜像传输流量。
5.根据权利要求1所述的云平台靶场智能调用外部物理设备的虚实结合处理系统,其特征在于,所述的虚实结合接入网络的主物理交换机主要用于区分接入的外部物理设备类型,且子物理交换机通过连接主物理交换机端口并下接具体的物理设备,以此便于后期接入设备的扩展。
6.根据权利要求1所述的云平台靶场智能调用外部物理设备的虚实结合处理系统,其特征在于,所述的计算网络上的物理交换机与所述的虚实结合接入网络的物理交换机同时与防火墙设备相连接,所述的防火墙设备通过设置规则策略,使得所述的虚实结合接入网络的物理交换机的所有端口上的网段均与所述的计算网络的公有网络、私有网络进行数据通信。
7.一种利用权利要求1至6中任一项所述的系统实现云平台靶场智能调用外部物理设备的虚实结合处理方法,其特征在于,所述的方法包括以下步骤:
(1)根据不同类型物理设备在访问时所需提供的端口服务,生成中转虚拟服务器;
(2)启动云平台仿真场景,并判断当前识别场景是否存在物理设备,如果是,则进入步骤(3),否则,直接正常启动虚拟化场景;
(3)判断当前存在的物理设备的空闲数量是否大于预设数值,如果是,则进入步骤(4),否则,直接返回对应物理设备无空闲待用数量;
(4)获取场景网络拓扑中对应的空闲物理设备的ip地址,并根据该ip地址生成Cloud-init初始化命令从而启动中转机;
(5)所述的云平台将根据仿真场景中的物理设备类型自动选择对应的中转机,并通过Cloud-init初始化命令获取转发策略的目的地址;
(6)用户通过所述的云平台访问所需的物理设备。
8.根据权利要求7所述的实现云平台靶场智能调用外部物理设备的虚实结合处理方法,其特征在于,所述的步骤(1)具体为:
根据不同类型物理设备在访问时所需提供的端口服务,编写对应的iptables转发策略,生成中转虚拟服务器,且服务器系统默认关闭其他无关服务,不同类型的物理设备配备不同的中转机。
9.根据权利要求7所述的实现云平台靶场智能调用外部物理设备的虚实结合处理方法,其特征在于,所述的步骤(5)具体为:
所述的云平台将根据仿真场景中的物理设备类型进行自动选择对应的中转机,所述的中转机中连接物理设备的目的地址通过metadata配置信息带入,并通过云平台Cloud-init调用将其自动写入iptables转发策略的目的地址。
10.一种实现云平台靶场智能调用外部物理设备的虚实结合处理的装置,其特征在于,所述的装置包括:
处理器,被配置成执行计算机可执行指令;
存储器,存储一个或多个计算机可执行指令,所述的计算机可执行指令被所述的处理器执行时,实现权利要求7~9中任一项所述的云平台靶场智能调用外部物理设备的虚实结合处理方法的步骤。
11.一种实现云平台靶场智能调用外部物理设备的虚实结合处理的处理器,其特征在于,所述的处理器被配置成执行计算机可执行指令,所述的计算机可执行指令被所述的处理器执行时,实现权利要求7~9中任一项所述的云平台靶场智能调用外部物理设备的虚实结合处理方法的步骤。
12.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述的计算机程序可被处理器执行,以实现权利要求7~9中任一项所述的云平台靶场智能调用外部物理设备的虚实结合处理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310941639.9A CN116962139A (zh) | 2023-07-28 | 2023-07-28 | 云平台靶场智能调用外部物理设备的虚实结合处理系统、方法、装置、处理器及其存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310941639.9A CN116962139A (zh) | 2023-07-28 | 2023-07-28 | 云平台靶场智能调用外部物理设备的虚实结合处理系统、方法、装置、处理器及其存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116962139A true CN116962139A (zh) | 2023-10-27 |
Family
ID=88457998
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310941639.9A Pending CN116962139A (zh) | 2023-07-28 | 2023-07-28 | 云平台靶场智能调用外部物理设备的虚实结合处理系统、方法、装置、处理器及其存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116962139A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117278635A (zh) * | 2023-11-03 | 2023-12-22 | 烽台科技(北京)有限公司 | 工业靶场的调度方法和工业靶场系统 |
-
2023
- 2023-07-28 CN CN202310941639.9A patent/CN116962139A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117278635A (zh) * | 2023-11-03 | 2023-12-22 | 烽台科技(北京)有限公司 | 工业靶场的调度方法和工业靶场系统 |
| CN117278635B (zh) * | 2023-11-03 | 2024-03-19 | 烽台科技(北京)有限公司 | 工业靶场的调度方法和工业靶场系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110611588B (zh) | 一种网络创建方法、服务器、计算机可读存储介质和系统 | |
| US10897392B2 (en) | Configuring a compute node to perform services on a host | |
| US8589920B2 (en) | Resource allocation | |
| EP3422642B1 (en) | Vlan tagging in a virtual environment | |
| CN111224821B (zh) | 安全服务部署系统、方法及装置 | |
| CN108287723B (zh) | 一种应用交互方法、装置、物理机及系统 | |
| US8255496B2 (en) | Method and apparatus for determining a network topology during network provisioning | |
| CN108322467B (zh) | 基于ovs的虚拟防火墙配置方法、电子设备及存储介质 | |
| WO2020024413A1 (zh) | 一种云计算平台部署的控制方法、服务器及存储介质 | |
| CN112688814B (zh) | 一种设备接入方法、装置、设备及机器可读存储介质 | |
| CN112035216B (zh) | 一种Kubernetes集群网络和OpenStack网络的打通方法 | |
| US11743117B2 (en) | Streamlined onboarding of offloading devices for provider network-managed servers | |
| CN108345490B (zh) | 一种nfv中部署虚拟机的方法和系统 | |
| CN116962139A (zh) | 云平台靶场智能调用外部物理设备的虚实结合处理系统、方法、装置、处理器及其存储介质 | |
| CN108781166A (zh) | Vnfm的确定方法和网络功能虚拟化编排器 | |
| US8732715B2 (en) | Resource management method, device and program thereof | |
| CN115086166B (zh) | 计算系统、容器网络配置方法及存储介质 | |
| CN112099913A (zh) | 一种基于OpenStack实现虚拟机安全隔离的方法 | |
| CN115686729A (zh) | 容器集群网络系统、数据处理方法、设备及计算机程序产品 | |
| CN109450768B (zh) | 容器互联的方法及用于容器互联的系统 | |
| RU2517377C2 (ru) | Предоставление функциональных возможностей для клиентских служб посредством реализации и привязки контрактов | |
| US20210392091A1 (en) | User-mode protocol stack-based network isolation method and device | |
| CN112887330B (zh) | 一种网络acl隔离浮动ip的实现装置及方法 | |
| CN114448978A (zh) | 一种网络接入方法、装置、电子设备及存储介质 | |
| KR20220104241A (ko) | 네트워크 작업 방법, 장치, 설비 및 저장매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |