CN111711536A - 一种云架构下防火墙测试环境构建方法 - Google Patents
一种云架构下防火墙测试环境构建方法 Download PDFInfo
- Publication number
- CN111711536A CN111711536A CN202010504647.3A CN202010504647A CN111711536A CN 111711536 A CN111711536 A CN 111711536A CN 202010504647 A CN202010504647 A CN 202010504647A CN 111711536 A CN111711536 A CN 111711536A
- Authority
- CN
- China
- Prior art keywords
- test
- data
- network
- vlan
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/354—Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明涉及一种云架构下防火墙测试环境构建方法,属于信息安全技术领域。本发明基于OpenStack云平台统筹硬件资源,将防火墙测试中的物理设备虚拟化。基于软件定义网络技术(OpenVswitch)构建防火墙测试网络拓扑,实现虚拟测试设备的流量隔离、迁移,完成测试。该方法能够快速构建防火墙测试环境、共享测试用例,对多个防火墙同时进行测试,提高防火墙在复杂网络拓扑中的测试效率。
Description
技术领域
本发明属于信息安全技术领域,具体涉及一种云架构下防火墙测试环境构建方法。
背景技术
在信息化时代中,网络普及率大幅提高,数据传输量呈几何倍增长。为抵御网络攻击,保证信息安全,防火墙被应用于政府、企业、军队等各个行业中。因此,防火墙的质量如何,能否有效地保障网络的安全就显得尤为重要。目前,对防火墙设备的测试分为性能测试和功能测试,性能测试可以依靠防火墙测试仪进行。功能测试依靠手工测试及自动化测试软件进行测试。两种测试都需要提前构建相应的防火墙测试环境,当被测防火墙需要在复杂网络环境下进行多点并发功能测试或模拟真实环境进行性能测试时,不仅需要占用大量物理测试资源,而且测试效率很低。究其原因,主要有如下几个问题:
复杂网络环境下进行防火墙测试,搭建测试网络拓扑及网络设备调试会耗费大量测试时间。
单机测试方式中的测试用例不能共享,更换测试服务器后,所有测试用例及测试程序都需要重新安装配置。
单机测试方式中无法完成对多台防火墙设备的同时测试。
由此可见,快速构建防火墙测试网络,测试用例共享、多墙同测是提高防火墙测试效率的关键。
随着云计算技术的发展,工业界对于提高复杂网络环境下防火墙测试效率问题,提出了新的解决思路。依托云平台构建防火墙测试环境,发挥云平台资源配置灵活的优势,将实体测试设备虚拟化,在虚拟的环境下完成防火墙测试工作。这样不仅可以省去部署复杂测试网络拓扑的时间、实现测试用例共享、完成多防火墙同时测试、而且能够节省测试硬件资源,实现硬件资源复用。但是将实体测试设备虚拟话的过程中,如何划分硬件资源、如何对虚拟机中的测试流量进行隔离、迁移,都是需要解决的问题。
因此,如何建立云架构下防火墙测试环境仍是一个亟需解决的问题。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何建立云架构下防火墙测试环境。
(二)技术方案
为了解决上述技术问题,本发明提供了一种云架构下防火墙测试环境构建方法,包括以下步骤:
首先,将云架构下防火墙测试环境设计为:由控制节点、计算节点、中心网络节点和物理交换机组成;测试环境中使用Openstack对硬件资源进行划分管理;其中,所述控制节点负责对计算节点和中心网络节点的控制,包含管理虚拟机、虚拟机迁移、管理二层网络、管理测试用例和测试工具,以及配置存储;所述计算节点负责建立虚拟机实例,管理DHCP服务和中心源数据服务,每个计算节点都启动OpenVswitch服务,控制计算节点内虚拟机的网络流量;所述中心网络节点负责控制不同计算节点内虚拟机间的数据传输、网络数据隔离、管理三层网络,同时负责虚拟机和物理交换机间的数据交换;
然后执行云架构下防火墙测试环境构建流程。
优选地,所述云架构下防火墙测试环境构建流程具体包括以下步骤:
1)依托OpenStack在控制节点建立两个测试用子网,分别为源测试网络和目的测试网络,并在各测试用子网中建立测试虚拟机,之后将虚拟机挂载到相应的计算节点中,在控制节点中部署测试用例和测试软件供虚拟机使用,每个测试用子网端口和测试用子网中的虚拟机端口都使用相同的VLAN ID,不同测试用子网在二层网络中使用VLAN ID隔离;Openstack云平台中的管理信息存储在控制节点的数据库中,信息包括子网信息、虚拟机信息、测试用例及测试软件信息,并通过控制节点中的消息队列通信;
2)虚拟机中的测试数据被发送到计算节点的br-int虚拟交换机中后,判断该数据中是否含有VLAN ID,若有,则转发到计算节点的br-tun虚拟交换机中,并执行下一步,若没有则丢弃该测试数据;
3)计算节点的br-tun虚拟交换机接收到测试数据后,将测试数据中的VLAN ID与源网络端口以及目的网络端口的VLAN ID做比较,若VLAN ID与源网络端口以及目的网络端口的VLAN ID其中之一相同,则保留数据,并执行下一步,若不同则丢弃数据;
4)判断测试数据是否为多播,若是,则去掉测试数据中的VLAN ID写入VXLAN隧道编号,通过VXLAN网络发送到中心网络节点,若测试数据为单播数据,则去掉测试数据中的VLAN ID并写入VXLAN隧道编号,然后根据计算节点的br-tun虚拟交换机的流表中的返程规则发往特定的VXLAN网络,若单播数据没有返程规则,则按照多播数据方式发送;其中VXLAN隧道编号和VLAN ID一一对应,都可用于标识特定子网数据;
5)中心网络节点中的br-tun虚拟交换机接收测试数据,将测试数据中VXLAN隧道编号转化为对应的子网VLAN ID,在中心网络节点中的br-tun虚拟交换机的流表中添加返程规则,之后将测试数据传送到中心网络节点中的br-int虚拟交换机中;
6)中心网络节点中的br-int虚拟交换机再次检查测试数据中是否具有VLAN ID,若无,则丢弃测试数据,并根据VLAN ID将测试数据传送到指定的虚拟交换机,这些虚拟交换机与中心网络节点中的物理端口绑定,它们将数据中的VLAN ID去除后发送到外部物理交换机中;
物理交换机对交换机端口划分VLAN,保证进出防火墙的测试数据与其他数据相互隔离;
7)测试数据从防火墙流出后,经过物理交换机,被发送到同VLAN中所绑定的中心网络节点中的物理接口,之后被传送到与该物理端口绑定的虚拟交换机中,最后被传送到中心网络节点中的br-int虚拟交换机中;
8)数据在中心网络节点中的br-int虚拟交换机中被标注目标网络的VLAN ID,之后发送到中心网络节点中的br-tun虚拟交换机中;
9)中心网络节点中的br-tun虚拟交换机接收到测试数据后,将VLAN ID转化为隧道编号发送到计算节点的br-tun虚拟路由器中,并在中心网络节点中的br-tun虚拟交换机的流表中加载返程规则;
10)计算节点对的br-tun虚拟路由器收到测试数据后,将隧道编号转化为目标网络的VLAN ID,并将测试数据发送到计算节点的br-int虚拟交换机,最后到达目标测试虚拟机;
11)目标测试虚拟机收到测试数据后,重复执行步骤2-10完成防火墙测试;
12)多个防火墙同时测试时,将多次执行步骤1-11。
优选地,所述计算节点的br-tun虚拟交换机的流表是预先设置的。
优选地,所述计算节点的br-tun虚拟交换机的流表是动态设定的。
优选地,所述中心网络节点中的br-tun虚拟交换机的流表是预先设置的。
优选地,所述中心网络节点中的br-tun虚拟交换机的流表是动态设定的。
优选地,所述物理交换机对交换机端口划分VLAN时,将物理交换机中VLAN标志设置为:用tag1标签表示管理数据;用tag 2标签表示vxlan网络数据;用tag 3标签表示第一被测防火墙流入测试数据;用tag 4标签表示第一被测防火墙流出测试数据;用tag 5标签表示第二被测防火墙流入测试数据;tag 6标签表示第二被测防火墙流出测试数据。
优选地,所有测试用例和测试工具以镜像的方式由控制节点统一管理,各计算节点中的虚拟机通过网络远程访问这些镜像资源,并对镜像资源创建快照。
本发明还提供了一种所述的方法在提高防火墙在网络拓扑中测试效率的应用。
本发明又提供了一种所述的方法在信息安全技术领域中的应用。
(三)有益效果
本发明提供一种云架构下防火墙测试环境构建方法,这种方法基于OpenStack云平台统筹硬件资源,将防火墙测试中的物理设备虚拟化。基于软件定义网络技术(OpenVswitch)构建防火墙测试网络拓扑,实现虚拟测试设备的流量隔离、迁移,完成测试。该方法能够快速构建防火墙测试环境、共享测试用例,对多个防火墙同时进行测试,提高防火墙在复杂网络拓扑中的测试效率。
附图说明
图1是本发明的一种云架构下防火墙测试环境构建方法的总体原理图;
图2是本发明的云架构下防火墙测试环境构建方法具体流程图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
如图1所示,本发明提供的一种云架构下防火墙测试环境构建方法,其内容包括:
(1)将云架构下防火墙测试环境设计为:由控制节点、计算节点、中心网络节点和物理交换机组成;测试环境中使用Openstack对硬件资源进行划分管理;其中,所述控制节点负责对计算节点和中心网络节点的控制,包含管理虚拟机、虚拟机迁移、管理二层网络、管理测试用例和测试工具,以及配置存储;所述计算节点负责建立虚拟机实例(是负责测试用的虚拟测试主机),管理DHCP服务和中心源数据服务,每个计算节点都启动OpenVswitch服务,控制计算节点内虚拟机的网络流量;所述中心网络节点负责控制不同计算节点内虚拟机间的数据传输、网络数据隔离、管理三层网络,同时负责虚拟机和物理交换机间的数据交换。
(2)由于本发明在云环境下对防火墙进行测试,测试数据由虚拟机产生,经过物理网络传输到防火墙;这一过程中需要对防火墙测试数据进行隔离,以确保测试数据不受到其他数据的干扰,因此,云架构下防火墙测试环境(即防火墙测试云架构)中需要传输的数据包括管理数据、虚拟子网数据、vxlan网络数据、防火墙测试数据,其中,管理数据为Openstack云平台内各组件间的通信数据,这些通信数据由控制节点、计算节点、和中心网络节点这些节点产生,通过物理网络相互传输;所述虚拟子网数据为Openstack测试云平台内部虚拟网络中传输的数据,包括申请DHCP服务和访问源数据服务所发送的数据、虚拟网桥中传输的数据,这部分数据仅在服务器内部传输、不在物理网络中传输;所述vxlan网络数据为虚拟机之间通过vxlan网络通信所产生的数据,这些数据通过物理网络在计算节点之间或者在计算节点和中心网络节点之间传输;所述防火墙测试数据为虚拟机产生的防火墙测试数据。在图1中用不同的线条表示云测试平台架构中不同的数据类型。本发明的方法在云平台内部使用虚拟vlan隔离防火墙测试数据和虚拟子网数据,通过控制节点的消息队列服务管控管理数据,从而在Openstack云平台内部完成数据隔离;控制节点、计算节点、和中心网络节点这些节点间需要通过外部物理网络传输数据时,每种网络数据都使用独立的物理网卡端口传送到物理交换机,并在物理交换机内做vlan隔离,实现外部网络的物理隔离。
(3)本发明的方法中所有测试用例和测试工具以镜像的方式由控制节点统一管理,各计算节点中的虚拟机通过网络远程访问这些镜像资源,并可以对镜像资源创建快照,从而实现测试用例和测试工具的共享和灵活变更。
图2是一种云架构下防火墙测试环境构建方法的具体流程图,其具体流程为:
1)依托OpenStack在控制节点建立两个测试用子网,分别为源测试网络和目的测试网络,并在各测试用子网中建立测试虚拟机,之后将虚拟机挂载到相应的计算节点中,在控制节点中部署测试用例和测试软件供虚拟机使用,每个测试用子网端口和测试用子网中的虚拟机端口都使用相同的VLAN ID,不同测试用子网在二层网络中使用VLAN ID隔离;Openstack云平台中的管理信息存储在控制节点的数据库中,信息包括子网信息、虚拟机信息、测试用例及测试软件信息,并通过控制节点中的消息队列通信。
2)虚拟机中的测试数据被发送到计算节点的br-int虚拟交换机中后,判断该数据中是否含有VLAN ID,若有,则转发到计算节点的br-tun虚拟交换机中,并执行下一步,若没有则丢弃该测试数据;
3)计算节点的br-tun虚拟交换机接收到测试数据后,将测试数据中的VLAN ID与源网络端口以及目的网络端口的VLAN ID做比较,若VLAN ID与源网络端口以及目的网络端口的VLAN ID其中之一相同,则保留数据,并执行下一步,若不同则丢弃数据,这样可以保证虚拟机中的测试数据不被其他数据干扰;
4)判断测试数据是否为多播,若是,则去掉测试数据中的VLAN ID写入VXLAN隧道编号,通过VXLAN网络发送到中心网络节点,若测试数据为单播数据,则去掉测试数据中的VLAN ID并写入VXLAN隧道编号,然后根据计算节点的br-tun虚拟交换机流表(流表是在虚拟网络中用于控制网络数据流向的规则。流表可以是预设的,也可以是动态设定的)中的返程规则发往特定的VXLAN网络,若单播数据没有返程规则,则按照多播数据方式发送;其中VXLAN隧道编号和VLAN ID一一对应,都可用于标识特定子网数据;
5)中心网络节点中的br-tun虚拟交换机接收测试数据,将测试数据中VXLAN隧道编号转化为对应的子网VLAN ID,在中心网络节点中的br-tun虚拟交换机的流表中添加返程规则,之后将测试数据传送到中心网络节点中的br-int虚拟交换机中;
6)中心网络节点中的br-int虚拟交换机再次检查测试数据中是否具有VLAN ID,若无,则丢弃测试数据,这样可以保证测试数据不被干扰,并根据VLAN ID将测试数据传送到指定的虚拟交换机;例如图1.中的br-provider、br-provider1、br-provider2、br-provider3;这些虚拟交换机与中心网络节点中的物理端口绑定,它们将数据中的VLAN ID去除后发送到外部物理交换机中;
物理交换机按照图1中所示的方式对交换机端口划分VLAN,保证进出防火墙的测试数据与其他数据相互隔离;图1中显示的物理交换机中VLAN标志说明如下:
tag1标签表示管理数据;tag 2标签表示vxlan网络数据;tag 3标签表示被测防火墙1流入测试数据;tag 4标签表示被测防火墙1流出测试数据;tag 5标签表示被测防火墙2流入测试数据;tag 6标签表示被测防火墙2流出测试数据。
7)测试数据从防火墙流出后,经过物理交换机,被发送到同VLAN中所绑定的中心网络节点中的物理接口,之后被传送到与该物理端口绑定的虚拟交换机中,最后被传送到中心网络节点中的br-int虚拟交换机中;
8)数据在中心网络节点中的br-int虚拟交换机中被标注目标网络的VLAN ID,之后发送到中心网络节点中的br-tun虚拟交换机中;
9)中心网络节点中的br-tun虚拟交换机接收到测试数据后,将VLAN ID转化为隧道编号发送到计算节点的br-tun虚拟路由器中,并在中心网络节点中的br-tun虚拟交换机的流表中加载返程规则;
10)计算节点对的br-tun虚拟路由器收到测试数据后,将隧道编号转化为目标网络的VLAN ID,并将测试数据发送到计算节点的br-int虚拟交换机,最后到达目标测试虚拟机;
11)目标测试虚拟机收到测试数据后,重复执行步骤2-10完成防火墙测试;
12)多个防火墙同时测试时,将多次执行步骤1-11。
本发明在云平台内部使用VLAN ID隔离子网间的数据,在外部使用物理隔离的方法隔离进出防火墙的数据。相比于基于命名空间和MAC地址进行的数据隔离,这种方法虽然会占用较多的物理网络接口,但隔离更加彻底,能够最大限度地保留了对OpenStack网络组件的支持,测试用户在建立测试网络后,依然可以再次调用OpenStack网络组件组网。例如调用OpenStack L3层网络服务提供的路由功能拓展测试网络,建立更加复杂完善的测试网络拓扑。这是前两种网络隔离方式不能做到的。
这种测试流程设计使得测试人员在测试防火墙时,不需要对防火墙进行特殊设置,测试流程和单机测试方式相同,能够有效缩短测试人员熟悉测试环境的时间。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (10)
1.一种云架构下防火墙测试环境构建方法,其特征在于,包括以下步骤:
首先,将云架构下防火墙测试环境设计为:由控制节点、计算节点、中心网络节点和物理交换机组成;测试环境中使用Openstack对硬件资源进行划分管理;其中,所述控制节点负责对计算节点和中心网络节点的控制,包含管理虚拟机、虚拟机迁移、管理二层网络、管理测试用例和测试工具,以及配置存储;所述计算节点负责建立虚拟机实例,管理DHCP服务和中心源数据服务,每个计算节点都启动OpenVswitch服务,控制计算节点内虚拟机的网络流量;所述中心网络节点负责控制不同计算节点内虚拟机间的数据传输、网络数据隔离、管理三层网络,同时负责虚拟机和物理交换机间的数据交换;
然后执行云架构下防火墙测试环境构建流程。
2.如权利要求1所述的方法,其特征在于,所述云架构下防火墙测试环境构建流程具体包括以下步骤:
1)依托OpenStack在控制节点建立两个测试用子网,分别为源测试网络和目的测试网络,并在各测试用子网中建立测试虚拟机,之后将虚拟机挂载到相应的计算节点中,在控制节点中部署测试用例和测试软件供虚拟机使用,每个测试用子网端口和测试用子网中的虚拟机端口都使用相同的VLAN ID,不同测试用子网在二层网络中使用VLANID隔离;Openstack云平台中的管理信息存储在控制节点的数据库中,信息包括子网信息、虚拟机信息、测试用例及测试软件信息,并通过控制节点中的消息队列通信;
2)虚拟机中的测试数据被发送到计算节点的br-int虚拟交换机中后,判断该数据中是否含有VLAN ID,若有,则转发到计算节点的br-tun虚拟交换机中,并执行下一步,若没有则丢弃该测试数据;
3)计算节点的br-tun虚拟交换机接收到测试数据后,将测试数据中的VLANID与源网络端口以及目的网络端口的VLAN ID做比较,若VLAN ID与源网络端口以及目的网络端口的VLAN ID其中之一相同,则保留数据,并执行下一步,若不同则丢弃数据;
4)判断测试数据是否为多播,若是,则去掉测试数据中的VLAN ID写入VXLAN隧道编号,通过VXLAN网络发送到中心网络节点,若测试数据为单播数据,则去掉测试数据中的VLANID并写入VXLAN隧道编号,然后根据计算节点的br-tun虚拟交换机的流表中的返程规则发往特定的VXLAN网络,若单播数据没有返程规则,则按照多播数据方式发送;其中VXLAN隧道编号和VLAN ID一一对应,都可用于标识特定子网数据;
5)中心网络节点中的br-tun虚拟交换机接收测试数据,将测试数据中VXLAN隧道编号转化为对应的子网VLAN ID,在中心网络节点中的br-tun虚拟交换机的流表中添加返程规则,之后将测试数据传送到中心网络节点中的br-int虚拟交换机中;
6)中心网络节点中的br-int虚拟交换机再次检查测试数据中是否具有VLAN ID,若无,则丢弃测试数据,并根据VLAN ID将测试数据传送到指定的虚拟交换机,这些虚拟交换机与中心网络节点中的物理端口绑定,它们将数据中的VLAN ID去除后发送到外部物理交换机中;
物理交换机对交换机端口划分VLAN,保证进出防火墙的测试数据与其他数据相互隔离;
7)测试数据从防火墙流出后,经过物理交换机,被发送到同VLAN中所绑定的中心网络节点中的物理接口,之后被传送到与该物理端口绑定的虚拟交换机中,最后被传送到中心网络节点中的br-int虚拟交换机中;
8)数据在中心网络节点中的br-int虚拟交换机中被标注目标网络的VLAN ID,之后发送到中心网络节点中的br-tun虚拟交换机中;
9)中心网络节点中的br-tun虚拟交换机接收到测试数据后,将VLAN ID转化为隧道编号发送到计算节点的br-tun虚拟路由器中,并在中心网络节点中的br-tun虚拟交换机的流表中加载返程规则;
10)计算节点对的br-tun虚拟路由器收到测试数据后,将隧道编号转化为目标网络的VLAN ID,并将测试数据发送到计算节点的br-int虚拟交换机,最后到达目标测试虚拟机;
11)目标测试虚拟机收到测试数据后,重复执行步骤2-10完成防火墙测试;
12)多个防火墙同时测试时,将多次执行步骤1-11。
3.如权利要求2所述的方法,其特征在于,所述计算节点的br-tun虚拟交换机的流表是预先设置的。
4.如权利要求2所述的方法,其特征在于,所述计算节点的br-tun虚拟交换机的流表是动态设定的。
5.如权利要求2所述的方法,其特征在于,所述中心网络节点中的br-tun虚拟交换机的流表是预先设置的。
6.如权利要求2所述的方法,其特征在于,所述中心网络节点中的br-tun虚拟交换机的流表是动态设定的。
7.如权利要求2所述的方法,其特征在于,所述物理交换机对交换机端口划分VLAN时,将物理交换机中VLAN标志设置为:用tag1标签表示管理数据;用tag 2标签表示vxlan网络数据;用tag 3标签表示第一被测防火墙流入测试数据;用tag 4标签表示第一被测防火墙流出测试数据;用tag 5标签表示第二被测防火墙流入测试数据;tag 6标签表示第二被测防火墙流出测试数据。
8.如权利要求2所述的方法,其特征在于,所有测试用例和测试工具以镜像的方式由控制节点统一管理,各计算节点中的虚拟机通过网络远程访问这些镜像资源,并对镜像资源创建快照。
9.一种如权利要求1至8中任一项所述的方法在提高防火墙在网络拓扑中测试效率的应用。
10.一种如权利要求1至8中任一项所述的方法在信息安全技术领域中的应用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010504647.3A CN111711536B (zh) | 2020-06-05 | 2020-06-05 | 一种云架构下防火墙测试环境构建方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010504647.3A CN111711536B (zh) | 2020-06-05 | 2020-06-05 | 一种云架构下防火墙测试环境构建方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111711536A true CN111711536A (zh) | 2020-09-25 |
| CN111711536B CN111711536B (zh) | 2023-06-06 |
Family
ID=72539511
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010504647.3A Active CN111711536B (zh) | 2020-06-05 | 2020-06-05 | 一种云架构下防火墙测试环境构建方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111711536B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112787887A (zh) * | 2021-01-15 | 2021-05-11 | 烽火通信科技股份有限公司 | 一种面向分布式存储系统的自动化拷机测试方法和装置 |
| CN112866036A (zh) * | 2021-02-24 | 2021-05-28 | 鹏城实验室 | 云计算平台的网络流量仿真方法、系统及计算机存储介质 |
| CN115051927A (zh) * | 2022-07-01 | 2022-09-13 | 中国信息通信研究院 | 一种数据网络开发方法和系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103763310A (zh) * | 2013-12-31 | 2014-04-30 | 曙光云计算技术有限公司 | 基于虚拟网络的防火墙服务系统及方法 |
| US20150138993A1 (en) * | 2013-11-20 | 2015-05-21 | Big Switch Networks, Inc. | Systems and methods for testing networks with a controller |
| CN106453333A (zh) * | 2016-10-19 | 2017-02-22 | 深圳市深信服电子科技有限公司 | 虚拟化平台的防火墙规则创建方法及装置 |
| US20180302496A1 (en) * | 2017-04-18 | 2018-10-18 | Bayware Inc. | Self-Driving Content Distribution |
| CN110290045A (zh) * | 2019-07-16 | 2019-09-27 | 北京计算机技术及应用研究所 | 一种云架构下网络靶场软硬结合模型构建方法 |
-
2020
- 2020-06-05 CN CN202010504647.3A patent/CN111711536B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150138993A1 (en) * | 2013-11-20 | 2015-05-21 | Big Switch Networks, Inc. | Systems and methods for testing networks with a controller |
| CN103763310A (zh) * | 2013-12-31 | 2014-04-30 | 曙光云计算技术有限公司 | 基于虚拟网络的防火墙服务系统及方法 |
| CN106453333A (zh) * | 2016-10-19 | 2017-02-22 | 深圳市深信服电子科技有限公司 | 虚拟化平台的防火墙规则创建方法及装置 |
| US20180302496A1 (en) * | 2017-04-18 | 2018-10-18 | Bayware Inc. | Self-Driving Content Distribution |
| CN110290045A (zh) * | 2019-07-16 | 2019-09-27 | 北京计算机技术及应用研究所 | 一种云架构下网络靶场软硬结合模型构建方法 |
Non-Patent Citations (2)
| Title |
|---|
| FRANCK LE等: "Mobile IPv6 and Firewalls Problem statement", 《IETF 》 * |
| 刘辉邦等: "云计算中虚拟网络服务的性能测量及运营实践", 《华东师范大学学报(自然科学版)》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112787887A (zh) * | 2021-01-15 | 2021-05-11 | 烽火通信科技股份有限公司 | 一种面向分布式存储系统的自动化拷机测试方法和装置 |
| CN112787887B (zh) * | 2021-01-15 | 2022-03-25 | 烽火通信科技股份有限公司 | 一种面向分布式存储系统的自动化拷机测试方法和装置 |
| CN112866036A (zh) * | 2021-02-24 | 2021-05-28 | 鹏城实验室 | 云计算平台的网络流量仿真方法、系统及计算机存储介质 |
| CN115051927A (zh) * | 2022-07-01 | 2022-09-13 | 中国信息通信研究院 | 一种数据网络开发方法和系统 |
| CN115051927B (zh) * | 2022-07-01 | 2023-09-19 | 中国信息通信研究院 | 一种数据网络开发方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111711536B (zh) | 2023-06-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110088732B (zh) | 一种数据包处理方法、主机和系统 | |
| US11095504B2 (en) | Initializing network device and server configurations in a data center | |
| US8472443B2 (en) | Port grouping for association with virtual interfaces | |
| CN110301104B (zh) | 一种光线路终端olt设备虚拟方法及相关设备 | |
| EP3175590B1 (en) | Bridging clouds | |
| EP2559206B1 (en) | Method of identifying destination in a virtual environment | |
| CN103548327B (zh) | 用于在分布式虚拟交换机上提供位置无关的动态端口镜像的方法 | |
| US9363207B2 (en) | Private virtual local area network isolation | |
| US10996938B2 (en) | Automated selection of software images for network devices | |
| EP3096490B1 (en) | Method for realizing network virtualization and related device and communication system | |
| CN112398676B (zh) | 多租户环境中服务接入端点的基于供应商无关简档的建模 | |
| US20170214617A1 (en) | System and method for supporting inter-subnet control plane protocol for consistent unicast routing and connectivity in a high performance computing environment | |
| CN111711536A (zh) | 一种云架构下防火墙测试环境构建方法 | |
| EP2681878B1 (en) | Technique for managing an allocation of a vlan | |
| EP3799371A1 (en) | Assisted replication in software defined network | |
| US11258661B2 (en) | Initializing server configurations in a data center | |
| JP2010531602A (ja) | リアルタイム通信ネットワークにおける診断データの通信のための方法と装置 | |
| WO2012168872A1 (en) | Virtual network configuration and management | |
| JP2010531602A5 (zh) | ||
| WO2021147358A1 (zh) | 一种网络接口的建立方法、装置及系统 | |
| CN106878480A (zh) | 一种dhcp服务进程共享方法及装置 | |
| CN112929206B (zh) | 一种云网环境下云物理机配置的方法与装置 | |
| US20200344158A1 (en) | Virtual port group | |
| CN112532506B (zh) | 混合组网方法、装置、服务器和计算机可读存储介质 | |
| CN110100416A (zh) | 选择网关的方法、设备和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |