CN109510749A - 一种基于OpenStack和SDN技术的大规模虚拟网络构建方法 - Google Patents
一种基于OpenStack和SDN技术的大规模虚拟网络构建方法 Download PDFInfo
- Publication number
- CN109510749A CN109510749A CN201811100442.8A CN201811100442A CN109510749A CN 109510749 A CN109510749 A CN 109510749A CN 201811100442 A CN201811100442 A CN 201811100442A CN 109510749 A CN109510749 A CN 109510749A
- Authority
- CN
- China
- Prior art keywords
- network
- virtual network
- mininet
- openstack
- scale virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/044—Network management architectures or arrangements comprising hierarchical management structures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于OpenStack和SDN技术的大规模虚拟网络构建方法,此方法利用OpenStack整合各种物理资源的能力,创建出远大于物理主机数量的虚机,在创建的每个虚机上,通过Mininet构建SDN虚拟网络,并通过建立Vxlan隧道的方式实现不同虚机上的多个Mininet网络的互联,从而构建出一个大规模的虚拟网络。同时,每个虚机上的Mininet网络都连接至一个共同的ONOS控制器上,对构建的大规模虚拟网络进行统一监控与管理。
Description
技术领域
本发明涉及一种基于OpenStack和SDN技术的大规模虚拟网络构建方法。
背景技术
网络空间对抗形势日趋严峻,网络攻防已成为各国网络攻防对抗的主要内容。网络环境已由单纯互联网发展到了泛在网络空间,攻击方式也由单一模式朝着复杂的高级持续性威胁 (AdvancedPersistentThreat,APT)攻击方向发展。
网络靶场是针对网络攻防演练和网络新技术评测的重要基础设施,主要供政府和军队部门使用,用来提高网络和信息系统的稳定性、安全性和性能。世界各国均高度重视网络靶场建设,将其作为支撑网络空间安全技术验证、网络武器试验、攻防对抗演练和网络风险评估的重要手段。
网络靶场的发展可以分为三个阶段:
第一阶段是以21世纪初期针对单独的木马类攻击武器而建立的实物高逼真型靶标时期。在此阶段,各国以敌方的靶标软硬件平台为目标,建立尽可能逼真的靶标软硬件平台,用于测试己方新研制的攻击武器能否成功绕过敌方的防护软件,主要包括早期的蜜罐系统、木马测试系统等。
第二阶段是以2005年开始的小型虚拟化互联网靶场时期。在此阶段,云计算、软件定 义网络等虚拟技术是该阶段的主流技术,拟真实的互联网攻防作战提供虚拟环境是各个国家 的主要目标,但模拟的互联网规模都比较小。主要包括:2005年美军联合参谋部组织建设的 “联合信息作战靶场”(Information Operations Range,IOR),2009年美国国防部国防高级研究 计划局牵头建立的“国家网络靶场”(National Cyber Range,NCR)[3],2010年美军国防信息系 统局组织建设的“国防部网络安全靶场”(GIG,GlobalInformation Grid);2010年英国国防部 正式启用了由诺·格公司研制的“网络安全试验靶场”。
第三阶段是2014年开始的支撑泛在网的大型虚实结合网络空间靶场时期。在此阶段,“震网”、“火焰”等针对工控网的新型网络攻击突现,各国纷纷开始研究虚实结合的网络空间靶场技术。主要包括:2014年美国国家靶场增加了法拉第罩进行无线发射设备的测试,并支持移动计算设备;2014年6月,北大西洋公约组织在塔林建立NATO的网络靶场,支持工控网的攻防测试;2015年7月,欧洲防务署批准建立网络攻防测试靶场,标志着EDA靶场工程的启动。
为了保证国家安全,为了加快向网络强国迈进的步伐,为了在未来的网络战中占据有利的位置,建立新一代的虚实结合的大型网络靶场项目,对网络靶场和网络战从理论和实践上进行深入研究,具有重要的现实意义。
发明内容
针对上述问题,本发明的目的是提供一种基于OpenStack和SDN技术的大规模虚拟网络构建方法,用于构建大规模虚拟网络靶场,用户可以根据不同网络攻击场景,自定义网络的拓扑和规模,并且可以轻松实现网络拓扑的重构。为实现上述目的,本发明采取以下技术方案:
一种基于OpenStack和SDN技术的大规模虚拟网络构建方法,此方法利用OpenStack 整合各种物理资源的能力,创建出远大于物理主机数量的虚机,在创建的每个虚机上,通过 Mininet构建SDN虚拟网络,并通过建立Vxlan隧道的方式实现不同虚机上的多个Mininet 网络的互联,从而构建出一个大规模的虚拟网络。同时,每个虚机上的Mininet网络都连接至一个共同的ONOS控制器上,对构建的大规模虚拟网络进行统一监控与管理。
本发明由于采取以上技术方案,其具有以下优点:
(1)本发明采用OpenStack技术整合物理资源,可以创建出远大于物理机数量的虚机,且虚机数量可以按照需求定制,虚机的创建与删除灵活方便。
(2)本发明采用Mininet构建SDN虚拟网络,可以根据攻击模拟场景的不同自定义网络拓扑,并可以很容易实现网络的拓扑重构。
(3)利用SDN架构的优势,可以实现整个虚拟网络的统一监控与管理。
(4)本发明操作简单,可以显著降低成本。
附图说明
图1是整体架构设计图;
图2是实际网络设计图;
图3是每个虚机上自定义的虚拟SDN网络拓扑图;
图4是两个Mininet网络之间通过Vxlan隧道进行连接示意图;
图5是最终效果图。
本发明的具体实施方式是:
1)构建基于OpenStack技术的云平台,其中包括一个控制节点,若干个计算节点。整体的网络设计如附图2所示,每个节点都包括两块网卡enp3s0和enp5s0,网卡enp3s0构建管理网络,主要用于计算节点与控制节点之间同步、认证等信息的传输。网卡enp5s0用于虚机之间的通信。
2)在每个虚机上利用Mininet创建一个SDN虚拟网络,网络拓扑可以自定义,如附图 3所示。
3)不同虚机上的Mininet网络之间通过建立Vxlan隧道实现连接,如附图4所示,其中 VM1与VM2为两个虚机,两个虚拟机位于同一个vlan tnet51下,两个虚机上各运行一个Mininet网络Mininet1和Mininet2,在两个Mininet网络中个各选择一个OVS用于建立Vxlan隧道,具体步骤为:通过指令
ovs-vsctl addbrbr0
为OVS创建一个新的端口br0,然后通过指令:
ovs-vsctl set interfacebr0type=vxlan options:remote_ip=对端虚机网卡的IP
设置该br0端口为vxlan模式,remote_ip为需要与其建立隧道的对端虚机的IP地址。这样便可以实现两个Mininet网络通过Vxlan隧道的互联。
4)所有的Mininet网络都连接至ONOS控制器,这样便可以看到网络的全局视图,如附图5所示。
Claims (1)
1.一种基于OpenStack和SDN技术的大规模虚拟网络构建方法,此方法利用OpenStack整合各种物理资源的能力,创建出远大于物理主机数量的虚机,在创建的每个虚机上,通过Mininet构建SDN虚拟网络,并通过建立Vxlan隧道的方式实现不同虚机上的多个Mininet网络的互联,从而构建出一个大规模的虚拟网络。同时,每个虚机上的Mininet网络都连接至一个共同的ONOS控制器上,对构建的大规模虚拟网络进行统一监控与管理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811100442.8A CN109510749A (zh) | 2018-09-20 | 2018-09-20 | 一种基于OpenStack和SDN技术的大规模虚拟网络构建方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811100442.8A CN109510749A (zh) | 2018-09-20 | 2018-09-20 | 一种基于OpenStack和SDN技术的大规模虚拟网络构建方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109510749A true CN109510749A (zh) | 2019-03-22 |
Family
ID=65746166
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811100442.8A Pending CN109510749A (zh) | 2018-09-20 | 2018-09-20 | 一种基于OpenStack和SDN技术的大规模虚拟网络构建方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109510749A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110177016A (zh) * | 2019-05-27 | 2019-08-27 | 北京计算机技术及应用研究所 | 一种网络安全试验环境快速构建方法 |
| CN110191043A (zh) * | 2019-05-23 | 2019-08-30 | 北京永信至诚科技股份有限公司 | 城市级网络靶场的vlan划分方法和系统 |
| CN110493062A (zh) * | 2019-08-30 | 2019-11-22 | 北京邮电大学 | 一种基于Mininet的电力通信网的仿真平台 |
| CN111984972A (zh) * | 2020-08-17 | 2020-11-24 | 济南浪潮高新科技投资发展有限公司 | 一种基于Mininet分析网络流量生成训练集的方法及系统 |
| CN114422296A (zh) * | 2022-01-05 | 2022-04-29 | 北京天一恩华科技股份有限公司 | 一种多场景虚拟网络构建系统、方法、终端及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103152239A (zh) * | 2013-02-25 | 2013-06-12 | 汉柏科技有限公司 | 一种基于Open VSwitch的虚拟网络实现方法和系统 |
| US20130315233A1 (en) * | 2012-05-22 | 2013-11-28 | International Business Machines Corporation | Large distributed fabric-based switch using virtual switches and virtual controllers |
| CN103763367A (zh) * | 2014-01-17 | 2014-04-30 | 浪潮(北京)电子信息产业有限公司 | 一种云计算数据中心分布式虚拟网络设计方法及系统 |
| CN105376133A (zh) * | 2015-11-20 | 2016-03-02 | 南京优速网络科技有限公司 | 一种基于虚拟化技术的网络实验系统及构造方法 |
-
2018
- 2018-09-20 CN CN201811100442.8A patent/CN109510749A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130315233A1 (en) * | 2012-05-22 | 2013-11-28 | International Business Machines Corporation | Large distributed fabric-based switch using virtual switches and virtual controllers |
| CN103152239A (zh) * | 2013-02-25 | 2013-06-12 | 汉柏科技有限公司 | 一种基于Open VSwitch的虚拟网络实现方法和系统 |
| CN103763367A (zh) * | 2014-01-17 | 2014-04-30 | 浪潮(北京)电子信息产业有限公司 | 一种云计算数据中心分布式虚拟网络设计方法及系统 |
| CN105376133A (zh) * | 2015-11-20 | 2016-03-02 | 南京优速网络科技有限公司 | 一种基于虚拟化技术的网络实验系统及构造方法 |
Non-Patent Citations (3)
| Title |
|---|
| FINEAS-LUCIAN LUPAESCU ET.AL: "A Firewall Application for Performance Evaluation of Pyretic Controller in Software-Defined Networks", 《2016 15TH ROEDUNET CONFERENCE:NETWORKING IN EDUCATION AND RESEARCH》 * |
| 方滨兴等: "网络空间靶场技术研究", 《信息安全学报》 * |
| 杨俊东等: "基于Mininet的SDN仿真性能分析", 《信息通信》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110191043A (zh) * | 2019-05-23 | 2019-08-30 | 北京永信至诚科技股份有限公司 | 城市级网络靶场的vlan划分方法和系统 |
| CN110177016A (zh) * | 2019-05-27 | 2019-08-27 | 北京计算机技术及应用研究所 | 一种网络安全试验环境快速构建方法 |
| CN110493062A (zh) * | 2019-08-30 | 2019-11-22 | 北京邮电大学 | 一种基于Mininet的电力通信网的仿真平台 |
| CN111984972A (zh) * | 2020-08-17 | 2020-11-24 | 济南浪潮高新科技投资发展有限公司 | 一种基于Mininet分析网络流量生成训练集的方法及系统 |
| CN114422296A (zh) * | 2022-01-05 | 2022-04-29 | 北京天一恩华科技股份有限公司 | 一种多场景虚拟网络构建系统、方法、终端及存储介质 |
| CN114422296B (zh) * | 2022-01-05 | 2024-02-20 | 北京天一恩华科技股份有限公司 | 一种多场景虚拟网络构建系统、方法、终端及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109510749A (zh) | 一种基于OpenStack和SDN技术的大规模虚拟网络构建方法 | |
| CN113067728B (zh) | 一种网络安全攻防试验平台 | |
| CN103701777B (zh) | 基于虚拟化和云技术的远程网络攻防虚拟仿真系统 | |
| CN105871885B (zh) | 一种网络渗透测试方法 | |
| CN104811335B (zh) | 一种实现网络靶场系统的方法及网络靶场管理系统 | |
| US9628339B1 (en) | Network testbed creation and validation | |
| CN110098951A (zh) | 一种基于虚拟化技术的网络攻防虚拟仿真与安全评估方法及系统 | |
| CN103067380B (zh) | 一种虚拟安全设备的部署配置方法及系统 | |
| EP3776430B1 (en) | System and method for blockchain-based decentralized application development | |
| CN109254831A (zh) | 基于云管理平台的虚拟机网络安全管理方法 | |
| CN106254176A (zh) | 一种基于openvswitch的流量镜像方法 | |
| CN111294333B (zh) | 一种开放式的自适应漏洞演练平台的构建系统 | |
| CN106790046A (zh) | 基于超融合架构的网络攻防虚拟仿真系统 | |
| CN106068627A (zh) | 用于在vpn网关处识别数据会话的方法和系统 | |
| CN109344624A (zh) | 基于云端协作的渗透测试方法、平台、设备及存储介质 | |
| CN111061617B (zh) | 一种基于云计算的天基网络组网仿真测试系统 | |
| CN109150574A (zh) | 一种规模网络复现方法 | |
| CN105025067B (zh) | 一种信息安全技术研究平台 | |
| CN104579778A (zh) | 一种企业内部网络虚拟化的简单实现方法 | |
| CN113438103A (zh) | 一种大规模网络靶场及其构建方法、构建装置、构建设备 | |
| CN105391066A (zh) | 一种智能电网模拟运行系统 | |
| CN109039823B (zh) | 一种网络系统防火墙检测方法、装置、设备及存储介质 | |
| CN115426324A (zh) | 一种实体设备接入网络靶场的方法及装置 | |
| Tan et al. | Distributed software emulator for cyber-physical analysis in smart grid | |
| CN104301150A (zh) | 一种网络设备配置方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190322 |
|
| RJ01 | Rejection of invention patent application after publication |