CN107592216B - 一种支持多场景实验隔离的虚实网络融合仿真方法 - Google Patents
一种支持多场景实验隔离的虚实网络融合仿真方法 Download PDFInfo
- Publication number
- CN107592216B CN107592216B CN201710777597.4A CN201710777597A CN107592216B CN 107592216 B CN107592216 B CN 107592216B CN 201710777597 A CN201710777597 A CN 201710777597A CN 107592216 B CN107592216 B CN 107592216B
- Authority
- CN
- China
- Prior art keywords
- network
- virtual
- physical
- ovs
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种支持多场景实验隔离的虚实网络融合仿真方法,涉及网络模拟仿真技术领域,解决了基于OpenStack平台的虚实融合网络不支持多场景实验隔离的问题,所述方法包括步骤:搭建OpenStack云平台基本环境;构建目标虚拟网络,虚拟网络中使用自主研发的路由器;配置网络节点中的OVS使其直接转发所有数据包;接入并配置实物交换机和实物主机。本发明通过提供一种支持多场景实验隔离的虚实网络融合仿真方法,实现搭建一个支持实验隔离的虚实融合的网络环境,可用于网络安全评估和计算机系统安全评估。
Description
技术领域
本发明涉及网络模拟仿真技术领域,特别是涉及一种支持多场景实验隔离的虚实网络融合仿真方法。
背景技术
当前进行网络研究常用方法包括网络模拟技术、网络仿真技术和实物测试床。其中网络模拟技术可模拟超大规模网络,且成本低、实现容易,但使用该技术所模拟出来的网络在逼真度上具有很大限制;与网络模拟技术相比,基于虚拟化技术的网络仿真可提供更加真实的网络环境,但在网络仿真规模以及网络复现速度方面稍显不足;实物测试床技术基于真实硬件设备构建目标网络,所构建的网络具有超高的逼真度,但过于依赖硬件设备也造成了该技术成本高、可用性差、可重复性差等缺点。
为了构造高逼真、大规模的网络实验拓扑,研究者提出了虚实融合的网络环境,可有效结合上述三种技术的优点。利用云平台构建的虚拟网络与实物设备互联的技术逐渐成为研究热点,云平台借助于虚拟化技术可进行操作系统级仿真,保证了仿真网络的逼真度,丰富的API可方便研究者进行管理。
OpenStack作为云平台的代表,其功能强大,结合虚拟交换机能够构建多样化的虚拟网络,其基本架构包括一个控制节点、一个网络节点和若干个计算节点,控制节点用以管控整个系统,网络节点提供诸如DHCP、路由等网络服务,计算节点为虚拟云主机的建立提供资源。利用OpenStack所构建的虚实网络间的通信要经过router namespace进行地址转换,对于科学研究来说,这造成数据包传输不透明,导致网络仿真不逼真。另外,OpenStack并未考虑虚实融合网络的隔离问题,如果存在多组完全一致的虚实融合的网络,即作为数据包收发源地址和目的地址的主机的IP地址相同,则数据包很有可能会被发送到错误的主机。
Open vSwitch(OVS)是运行在虚拟化平台的虚拟交换机,可为动态变化的端点提供二层交换功能。OVS中各个网桥根据其流表规则对流经的数据包进行操作,主要的网桥包括br-int、br-ex、br-tun,其中br-int负责管控所有待转发的数据包,br-ex负责内部虚拟网络与外部实物设备的通信,br-tun负责节点之间隧道网络的通信,另外OVS上各端口根据vlan tag收发数据包。利用OpenFlow协议,研究者可对OVS中数据包的传输路径做灵活控制。
发明内容
本发明解决的技术问题是要提供一种支持多场景实验隔离的虚实网络融合仿真方法,借助OpenStack平台实现虚实网络融合,支持多试验场景隔离,同时保证数据包的透明传输。
本发明解决上述问题的技术方案如下:
S1:搭建OpenStack云平台基本环境,搭建时选择OVS作为虚拟交换机,各节点之间的通信方式选择GRE,且网络节点和控制节点分开搭建;
S2:构建目标虚拟网络,使用OpenStack建立虚拟云主机,OVS作为虚拟交换机,路由器采用自主研发的虚拟路由器,舍弃OpenStack自带的router namespace;
S3:在网络节点中OVS的br-int和br-ex中分别配置一条流表规则,使所有虚拟网络发出的流量不进行任何其他操作而直接被送往实物网络;
S4:连接支持vlan隔离的实物交换机至网络节点的外网网卡,接着在实物交换机上接入多台实物主机构成虚实融合的网络,并根据实际需要为实物主机配置IP地址,实物主机需要接入某个虚拟网络,则把该实物主机的IP地址配置到这个虚拟网络里即可;
S5:配置实物交换机,其中实物交换机上连接网络节点外网网卡的端口配置成trunk口,连接实物主机的端口需根据该实物主机所在的网络进行vlan划分,其详细的配置过程如下:
(1)登录OpenStack的Dashboard(OpenStack的组件之一,提供图形化的管理界面)页面或者用命令查看虚拟网络的ID;
(2)在网络节点用命令“ovs-vsctl show”查看OVS所有端口的信息,根据(1)中得到的虚拟网络的ID查找br-int中对应的DHCP接口,该类接口的名字一般为tap加上其所在虚拟网络的ID的前11个字符,找到该接口后就可以查看它的vlan tag,该vlan tag即为DHCP接口所在的虚拟网络的vlan tag;
(3)到实物交换机上找到实物主机所连接的端口,根据(2)中得到的vl an tag以及该实物主机所接入的虚拟网络为这些端口划分vlan。
所述的自主开发的虚拟路由器是指用Linux系统镜像创建的虚拟云主机,该虚拟云主机不作为数据包收发的源主机和目的主机,而是作为路由器用来转发数据包从而使不同的虚拟网络中的虚拟机能够互相通信。
所述连接外网的网卡为网络节点与实物网络相连的网卡。
本发明的有益效果如下:
1、虚实网络融合,结合了网络模拟技术、网络仿真技术和实物测试床的优点,摒弃了它们各自的不足;
2、实物网络可根据需要选择任意的虚拟网络进行连接,实物机只需更改自身的IP地址以及其连接的实物交换机接口的vlan id就可以连接至任意虚拟网络,整个网络环境可灵活配置;
3、构建的虚实融合的网络在进行通信时,跳过了NAT地址转换,整个通信过程透明,提升虚实网络融合仿真的逼真性;
4、支持多场景实验隔离,即使是多组完全相同的虚实融合的网络也不会互相影响,且无需复杂配置,实现简单。
附图说明
图1为一种支持多场景实验隔离的虚实网络融合仿真方法的流程图;
图2为为实物主机划分vlan的流程图;
图3为本发明实施例所使用的网络拓扑图;
图4为vlan隔离实验效果图;
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式做进一步描述。
本实施方式的流程图如图1所示,技术方案如下:
S1:搭建OpenStack云平台基本环境,搭建时选择OVS作为虚拟交换机,各节点之间的通信方式选择GRE,且网络节点和控制节点分开搭建;
S2:构建目标虚拟网络,使用OpenStack建立虚拟云主机,OVS作为虚拟交换机,路由器采用自主研发的虚拟路由器,舍弃OpenStack自带的router namespace;
S3:在网络节点中OVS的br-int和br-ex中分别配置一条流表规则,使所有虚拟网络发出的流量不进行任何其他操作而直接被送往实物网络;
S4:连接支持vlan隔离的实物交换机至网络节点的外网网卡,接着在实物交换机上接入多台实物主机构成虚实融合的网络,并根据实际需要为实物主机配置IP地址,实物主机需要接入某个虚拟网络,则把该实物主机的IP地址配置到这个虚拟网络里即可;
S5:配置实物交换机,其中实物交换机上连接网络节点外网网卡的端口配置成trunk口,连接实物主机的端口需根据该实物主机所在的网络进行vlan划分,配置流程图如图2所示,其详细的配置过程如下:
(1)登录OpenStack的Dashboard(OpenStack的组件之一,提供图形化的管理界面)页面或者用命令查看虚拟网络的ID;
(2)在网络节点用命令“ovs-vsctl show”查看OVS所有端口的信息,根据(1)中得到的虚拟网络的ID查找br-int中对应的DHCP接口,该类接口的名字一般为tap加上其所在虚拟网络的ID的前11个字符,找到该接口后就可以查看它的vlan tag,该vlan tag即为DHCP接口所在的虚拟网络的vlan tag;
(3)到实物交换机上找到实物主机所连接的端口,根据(2)中得到的vlan tag以及该实物主机所接入的虚拟网络为这些端口划分vlan。
上述技术方案,在步骤S1中,本实例中搭建的基本环境包括一个控制节点,一个网络节点和一个计算节点,控制节点连接管理网的网卡IP地址为192.168.1.31,网络节点连接管理网和GRE隧道网的网卡的IP地址分别为192.168.1.11和10.0.0.11,计算节点连接管理网和GRE隧道网的网卡的IP地址分别为192.168.1.21和10.0.0.21。
上述技术方案,在步骤S2中,以建立两个虚拟网络为例说明,VN1的IP地址为10.0.10.0/24,VN2的IP地址为10.0.20.0/24,两个虚拟网络之间用虚拟路由器接通;建立了4台虚拟云主机VM1、VM2、VM3和VM4,IP地址分别为10.0.10.3、10.0.10.4、10.0.20.3和10.0.20.4。
上述技术方案,在步骤S3中,br-int使用的配置命令的格式为“ovs-ofc tl add-flow br-int table=0,priority=10,actions=NORMAL”,br-ex使用的配置命令的格式为“ovs-ofctl add-flow br-ex table=0,priority=10,actions=NORMAL”,两条流表规则的意义在于对于所有进入的数据包都不进行任何操作而直接正常发出,这样数据包在整个通信过程中始终携带vlan id。
上述技术方案,在步骤S4中,接入4台实物主机,PC1和PC2接入虚拟网络10.0.10.0/24,IP地址分别为10.0.10.100和10.0.10.200;PC3和PC4接入虚拟网络10.0.20.0/24,IP地址分别为10.0.20.100和10.0.20.200.
上述技术方案,在步骤S5中,直接利用客户端配置实物交换机与网络节点外网网卡相连的端口为trunk口,连接实物主机的端口的配置过程如下:
(1)以管理员身份登录Dashboard,查看两个虚拟网络的ID,VN1的ID为30a9f503-b342-6547-c21e-bca8f1421956,VN2的ID为68d6ace4-4cdba-5773-b20c-afcef64a84f3;
(2)在网络节点用命令“ovs-vsctl show”查看OVS所有端口的信息,根据(1)中得到的两个网络的ID找到其对应的DHCP接口,VN1对应tap30a9f503-b3,查看其vlan tag为3,VN2对应tap68d6ace4-4c,查看其vlan tag为4,也就是说虚拟网络VN1的vlan tag为3,虚拟网络VN2的vlan tag为4;
(3)到实物交换机上找到实物主机所连接的端口,根据其所接入的虚拟网络为它们划分vlan,其中PC1和PC2接入VN1,所以划分它们所连接的端口到v lan 3,PC3和PC4接入VN2,所以划分它们所连接的端口到vlan 4。
构建好的虚实融合的网络的拓扑如图3所示,基于上述步骤构建的虚实融合的网络可展开各种测试研究工作。
基于本实施例,可展开但不限于以下测试工作:
(1)用IP地址为10.0.10.100的实物主机和同网络的虚拟机互相执行pi ng命令,结果表明同一网络的实物主机和虚拟机可以互相连通;
(2)在实物主机PC1上以VM1为目的地址使用traceroute命令,结果显示其路由路径确实只有1跳,证明透明性;
(3)将PC2的地址更改为10.0.10.100,即PC2和PC1的IP地址相同;新建一个虚拟网络VN3,IP地址设置为10.0.10.0/24,即VN3和VN1地址相同;为PC2所连端口重新划分vlan,把PC2划分到VN3里面,查找到vlan id为5;在VN3中新建一台虚拟云主机VM5,IP地址设置为10.0.10.3,即VM5和VM1的IP地址相同;在PC1上以VM1为目的地址执行ping命令,可以ping通,并抓包查看包的源MAC地址和目的MAC地址,分别为PC1和VM1的MAC地址;同样,在PC2上以VM5为目的地址执行ping命令,可以ping通,并抓包查看包的源M AC地址和目的MAC地址,分别为PC2和VM5的MAC地址;实验结果证明隔离性,效果图如图4所示。
上述实验结果表明,本发明提出的支持多场景实验隔离的虚实网络融合仿真方法可实现一个支持多场景实验隔离的虚实融合的网络环境,解决了基于Op enStack平台的虚实互联环境中不支持虚实融合网络实验隔离以及数据包传输不透明的问题。
上述具体实施方案仅用于说明本发明,而并非对本发明的限制,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化。
Claims (2)
1.一种支持实验隔离且透明的虚实网络融合仿真方法,其特征在于,包括以下步骤:
S1:搭建OpenStack云平台基本环境,搭建时选择OVS作为虚拟交换机,各节点之间的通信方式选择GRE,且网络节点和控制节点分开搭建;
S2:构建目标虚拟网络,使用OpenStack建立虚拟云主机,OVS作为虚拟交换机,路由器采用自主研发的虚拟路由器,舍弃OpenStack自带的router namespace;
S3:在网络节点中OVS的br-int和br-ex中分别配置一条流表规则,使所有虚拟网络发出的流量不进行任何其他操作而直接被送往实物网络;
S4:连接支持vlan隔离的实物交换机至网络节点的外网网卡,接着在实物交换机上接入多台实物主机构成虚实融合的网络,并根据实际需要为实物主机配置IP地址,实物主机需要接入某个虚拟网络,则把该实物主机的IP地址配置到这个虚拟网络里即可;
S5:配置实物交换机,其中实物交换机上连接网络节点外网网卡的端口配置成trunk口,连接实物主机的端口需根据该实物主机所在的网络进行vlan划分。
2.如权利要求1所述的方法,其特征在于,所述的实物交换机配置步骤为:
(1)登录OpenStack的Dashboard页面或者用命令查看虚拟网络的ID;
(2)在网络节点用命令“ovs-vsctl show”查看OVS所有端口的信息,根据(1)中得到的虚拟网络的ID查找br-int中对应的DHCP接口,该类接口的名字一般为tap加上其所在虚拟网络的ID的前11个字符,找到该接口后就可以查看它的vlan tag,该vlan tag即为DHCP接口所在的虚拟网络的vlan tag;
(3)到实物交换机上找到实物主机所连接的端口,
根据(2)中得到的vlan tag以及该实物主机所接入的虚拟网络为这些端口划分vlan。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710777597.4A CN107592216B (zh) | 2017-09-01 | 2017-09-01 | 一种支持多场景实验隔离的虚实网络融合仿真方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710777597.4A CN107592216B (zh) | 2017-09-01 | 2017-09-01 | 一种支持多场景实验隔离的虚实网络融合仿真方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107592216A CN107592216A (zh) | 2018-01-16 |
| CN107592216B true CN107592216B (zh) | 2020-11-17 |
Family
ID=61050799
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710777597.4A Active CN107592216B (zh) | 2017-09-01 | 2017-09-01 | 一种支持多场景实验隔离的虚实网络融合仿真方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107592216B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108365988A (zh) * | 2018-02-12 | 2018-08-03 | 江南大学 | 基于云平台的工业控制系统仿真方法 |
| CN108768807B (zh) * | 2018-06-01 | 2021-08-17 | 中国电子信息产业集团有限公司第六研究所 | 一种云平台虚实互连的方法及装置 |
| CN110764987A (zh) * | 2019-10-21 | 2020-02-07 | 西安电子科技大学 | 基于虚拟化技术的网络仿真测试系统中硬件设备接入方法 |
| CN111049686B (zh) * | 2019-12-20 | 2022-07-22 | 北京科东电力控制系统有限责任公司 | 一种电力监控系统安全防护虚拟实验室及其构建方法 |
| CN111651770B (zh) * | 2020-04-30 | 2023-05-09 | 北京华如科技股份有限公司 | 一种基于云计算的安全仿真计算系统及存储介质 |
| CN113259500A (zh) * | 2021-03-30 | 2021-08-13 | 紫光云技术有限公司 | 一种ovs网络dhcp地址池方法 |
| CN113726637B (zh) * | 2021-09-09 | 2022-11-01 | 华云数据控股集团有限公司 | 一种基于云平台的网络流量透传方法、装置及存储介质 |
| CN114422297B (zh) * | 2022-01-05 | 2024-03-26 | 北京天一恩华科技股份有限公司 | 一种多场景虚拟网络流量监控方法、系统、终端及介质 |
| CN114915603B (zh) * | 2022-07-18 | 2022-10-18 | 南京赛宁信息技术有限公司 | 基于OpenStack仿真三层交换机的方法和系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468746A (zh) * | 2014-11-23 | 2015-03-25 | 国云科技股份有限公司 | 一种适用于云平台的分布式虚拟网络实现方法 |
| CN104639372A (zh) * | 2015-02-13 | 2015-05-20 | 中国联合网络通信集团有限公司 | 基于sdn的覆盖网络和物理网络的关联方法及系统 |
| CN105900518A (zh) * | 2013-08-27 | 2016-08-24 | 华为技术有限公司 | 用于移动网络功能虚拟化的系统及方法 |
| CN106126318A (zh) * | 2016-07-05 | 2016-11-16 | 云南大学 | 一种Openstack云平台中虚拟机的动态迁移方法 |
| WO2017114342A1 (zh) * | 2015-12-31 | 2017-07-06 | 新华三技术有限公司 | 虚拟机报文控制 |
-
2017
- 2017-09-01 CN CN201710777597.4A patent/CN107592216B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105900518A (zh) * | 2013-08-27 | 2016-08-24 | 华为技术有限公司 | 用于移动网络功能虚拟化的系统及方法 |
| CN104468746A (zh) * | 2014-11-23 | 2015-03-25 | 国云科技股份有限公司 | 一种适用于云平台的分布式虚拟网络实现方法 |
| CN104639372A (zh) * | 2015-02-13 | 2015-05-20 | 中国联合网络通信集团有限公司 | 基于sdn的覆盖网络和物理网络的关联方法及系统 |
| WO2017114342A1 (zh) * | 2015-12-31 | 2017-07-06 | 新华三技术有限公司 | 虚拟机报文控制 |
| CN106126318A (zh) * | 2016-07-05 | 2016-11-16 | 云南大学 | 一种Openstack云平台中虚拟机的动态迁移方法 |
Non-Patent Citations (1)
| Title |
|---|
| OpenVG代码自动生成与跨平台仿真系统的设计与实现;徐祝庆;《中国优秀硕士学位论文全文数据库信息科技辑》;20160815;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107592216A (zh) | 2018-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107592216B (zh) | 一种支持多场景实验隔离的虚实网络融合仿真方法 | |
| CN108123818B (zh) | 一种虚实网络灵活可扩展融合的仿真方法 | |
| JP6605713B2 (ja) | クラウドコンピューティングシステムにおけるパケット処理方法、ホスト及びシステム | |
| Bakshi | Considerations for software defined networking (SDN): Approaches and use cases | |
| US8923155B2 (en) | L3 gateway for VXLAN | |
| CN109716717A (zh) | 从软件定义的网络控制器管理虚拟端口信道交换机对等体 | |
| CN108123819B (zh) | 一种虚实网络无缝融合的仿真方法 | |
| CN104780088B (zh) | 一种业务报文的传输方法和设备 | |
| CN106685787B (zh) | 基于OpenStack的PowerVM虚拟化网络管理方法及装置 | |
| CN116210204A (zh) | 用于vlan交换和路由服务的系统和方法 | |
| CN105591863B (zh) | 一种实现虚拟私有云网络与外部网络互通的方法和装置 | |
| US20150124823A1 (en) | Tenant dhcp in an overlay network | |
| CN117178534A (zh) | 存在点中的网络管理服务 | |
| CN109474627B (zh) | 一种基于sdn的虚拟租户网络隔离方法及系统 | |
| CN105453492A (zh) | 具有第三层分布式路由器功能的交换机集群 | |
| EP3069471B1 (en) | Optimized multicast routing in a clos-like network | |
| CN116762060A (zh) | 虚拟化的云环境中层2网络的互联网组管理协议(igmp) | |
| WO2015149253A1 (zh) | 数据中心的虚拟网络管理方法及数据中心系统 | |
| US20200007472A1 (en) | Service insertion in basic virtual network environment | |
| Naranjo et al. | Underlay and overlay networks: The approach to solve addressing and segmentation problems in the new networking era: VXLAN encapsulation with Cisco and open source networks | |
| CN114363021A (zh) | 网络靶场系统、网络靶场系统的虚拟网络实现方法及装置 | |
| CN112511432B (zh) | 一种Overlay网络虚拟化SFC路由配置、传输方法及系统 | |
| CN108574613A (zh) | Sdn数据中心的二层互通方法及装置 | |
| CN108512737B (zh) | 一种数据中心ip层互联的方法和sdn控制器 | |
| CN110505095B (zh) | 一种使用少量服务器搭建大规模虚拟数据中心的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |