CN112769620A - 一种网络部署方法、设备和计算机可读存储介质 - Google Patents

Abstract

本申请实施例公开了一种网络部署方法，所述方法包括：获取目标网络当前的网络意图信息；基于所述网络意图信息，确定具有信息传输关系的m组目标通信对象；其中，m为大于或等于1的整数；基于m组所述目标通信对象和策略集合，确定第一目标策略；其中，所述策略集合包括n种针对所述目标网络的网络通信策略，n为大于或等于m的整数；部署所述第一目标策略至用于管理所述目标网络的网络管理设备；其中，所述第一目标策略用于使所述网络管理设备实现流量业务传输控制。本申请实施例同时还公开了一种网络部署设备和计算机可读存储介质。

Description

一种网络部署方法、设备和计算机可读存储介质

技术领域

本申请涉及通信技术领域，尤其涉及一种网络部署方法、设备和计算机可读存储介质。

背景技术

由于微分段在虚拟局域网络中用于实现不同服务器之间的业务隔离，确保了用户对网络的安全管控，提升了数据中心内部流量的安全性，因此，微分段技术在虚拟局域网络中得到了广泛的应用。目前，网络微分段的部署方式主要有两种：第一种是通过管理中心进行持续计算得到策略，下发策略至各个终端的代理；第二种是对海量日志信息进行智能学习，构建策略推荐模型，通过测量推荐模型得到策略，并下发策略至分布式防火墙。

但是，上述两种部署方式中均存在策略部署周期较长，导致数据中心网络自适应能力较差的问题。

申请内容

有鉴于此，本申请实施例期望提供一种网络部署方法、设备和计算机可读存储介质，解决了目前部署方式中均存在部署周期较长，且数据中心网络自适应能力较差的问题，通过少量网络状态信息即可实现自动确定相应的策略并进行部署，有效缩短了部署周期，并提高了数据中心网络自适应能力。

为达到上述目的，本申请的技术方案是这样实现的：

第一方面，一种网络部署方法，所述方法包括：

获取目标网络当前的网络意图信息；

基于所述网络意图信息，确定具有信息传输关系的m组目标通信对象；其中，m为大于或等于1的整数；

基于m组所述目标通信对象和策略集合，确定第一目标策略；其中，所述策略集合包括n种针对所述目标网络的网络通信策略，n为大于或等于m的整数；

部署所述第一目标策略至用于管理目标网络的网络管理设备；其中，所述第一目标策略用于使所述网络管理设备实现流量业务传输控制。

可选的，所述获取目标网络当前的网络意图信息，包括：

收集所述目标网络当前的第一网络状态信息；

获取当前针对所述目标网络的业务要求；其中，所述业务要求至少包括用户对所述目标网络的限定信息；

基于所述业务要求和所述第一网络状态信息，得到所述网络意图信息。

可选的，所述基于所述网络意图信息，确定具有信息传输关系的m组目标通信对象，包括：

从所述网络意图信息中，确定至少一个参考通信对象；

对至少一个所述参考对象进行分组，得到m组所述目标通信对象。

可选的，所述对至少一个所述参考对象进行分组，得到m组所述目标通信对象，包括：

对每一所述参考对象进行标签化处理，得到至少一个目标通信对象；

对至少一个所述目标通信对象进行聚类分析，得到m组所述目标通信对象。

可选的，所述基于m组所述目标通信对象和策略集合，确定第一目标策略之前，所述方法还包括：基于所述网络意图信息，得到目标网络策略；

存储所述目标网络策略，得到所述策略集合。

可选的，所述获取目标网络当前的网络意图信息之后，所述方法还包括：

采用网络拓扑图的形式显示所述网络意图信息。

可选的，所述基于m组所述目标通信对象和策略集合，确定第一目标策略，包括：

从所述策略集合中，获取m组所述目标通信对象对应的通信策略，得到所述第一目标策略；

存储所述第一目标策略至目标存储区域。

可选的，所述部署所述第一目标策略至网络管理设备，包括：

通过预先设置的策略和规则的映射关系，对所述第一目标策略进行转换处理，得到目标规则；

部署所述目标规则至所述网络管理设备。

可选的，所述部署所述目标规则至所述网络管理设备之后，所述方法还包括：

获取所述目标网络在所述目标规则生效后的第二网络状态信息；

基于所述第二网络状态信息和所述第一网络状态信息，确定网络变化信息；

采用网络拓扑图的形式显示所述第一网络状态信息，得到第三网络状态信息；

采用目标标识信息对所述第三网络状态信息中的所述网络变化信息进行标识，得到目标网络状态信息；

显示所述目标网络状态信息。

可选的，所述方法还包括：

若检测到所述目标网络的历史网络状态信息和对应的历史目标策略的数量超过预设数量，确定待训练预测模型；

基于所述历史网络状态信息和对应的历史目标策略，对所述待训练预测模型进行模型训练，得到目标预测模型；

通过所述目标预测模型对所述目标网络的第一网络状态信息进行预测，得到第二目标策略；

部署所述第二目标策略至网络管理设备。

第二方面，一种网络部署设备，所述设备包括：存储器、处理器和通信总线；其中：

所述存储器，用于存储可执行指令；

所述通信总线，用于实现所述处理器和所述存储器之间的通信连接；

所述处理器，用于执行所述存储器中存储的网络部署程序，实现如上述任一项所述的网络部署方法的步骤。

第三方面，一种计算机可读存储介质，所述计算机可读存储介质上存储有网络部署程序，所述网络部署程序被处理器执行时实现如上述任一项所述的网络部署方法的步骤。

本申请的实施例所提供的网络部署方法、设备和计算机可读存储介质，通过收集目标网络当前的网络意图信息，基于网络意图信息，确定具有信息传输关系的m组目标通信对象，基于m组目标通信对象和策略集合，确定第一目标策略，部署第一目标策略至用于管理目标网络的网络管理设备。这样，对网络意图信息中的通信对象进行分组，得到m组目标通信对象，然后根据m组目标通信对象和策略集合，确定得到第一目标策略，并对第一目标策略进行部署，解决了目前部署方式中均存在部署周期较长，且数据中心网络自适应能力较差的问题，通过少量网络状态信息即可实现自动确定相应的策略并进行快速部署，有效缩短了部署周期，并提高了数据中心网络自适应能力。

附图说明

图1为本申请实施例提供的一种网络部署方法的流程示意图；

图2为本申请实施例提供的另一种网络部署方法的流程示意图；

图3为本申请实施例提供的又一种网络部署方法的流程示意图；

图4为本申请另一实施例提供的一种网络部署方法的流程示意图；

图5为本申请另一实施例提供的另一种网络部署方法的流程示意图；

图6为本申请另一实施例提供的又一种网络部署方法的流程示意图；

图7为本申请实施例提供的一种网络部署架构的结构示意图；

图8为本申请又一实施例提供的一种网络部署方法的流程示意图；

图9为本申请实施例提供的一种网络部署设备的结构示意图。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请的实施例提供一种网络部署方法，该方法应用于网络部署设备，参照图1所示，该方法包括以下步骤：

步骤101、获取目标网络当前的网络意图信息。

在本申请实施例中，网络意图信息可以指的是用于表示目标网络中当前各通信对象之间的信息传输流向，即可以体现目标网络的当前网络状态信息，例如目标网络当前的网络意图信息可以是目标网络中的传输的流量信息和运行的活跃进程信息。在一些应用场景中，目标网络当前的网络意图信息可以是根据目标网络当前的网络状态信息得到的。目标网络可以是某一应用环境下运行的通信网络，例如为某一医院的整个通信网络。

步骤102、基于网络意图信息，确定具有信息传输关系的m组目标通信对象。

其中，m为大于或等于1的整数。

在本申请实施例中，目标通信对象为使用目标网络实现通信(例如信息传输)的对象，例如在某一医院对应的局域网络中，通过该局域网实现互联网通信的计算机设备。具有信息传输关系的m组目标通信对象中的每一组目标通信对象可以是微分段通信对象，例如可以是服务器与虚拟机之间的两通信端口，还可以是具有通信链接的两应用程序。

步骤103、基于m组目标通信对象和策略集合，确定第一目标策略。

其中，策略集合包括n种针对目标网络的网络通信策略，n为大于或等于m的整数。

在本申请实施例中，策略集合包括的网络通信策略可以是首次运行目标网络时，根据用户配置要求和目标网络得到的微分段策略。第一目标策略包括的策略数量与m组目标通信对象匹配。

步骤104、部署第一目标策略至用于管理目标网络的网络管理设备。

其中，第一目标策略用于使网络管理设备实现流量业务传输控制。

在本申请实施例中，网络管理设备用于管理目标网络中目标通信对象之间的信息收发过程，网络管理设备可以是防火墙或者是交换机等，网络管理设备是防火墙时，还可以是分布式防火墙，这样，可以将第一目标策略部署至分布式防火墙，由于目标网络中的进出的数据均要经过分布式防火墙，因此，分布式防火墙可以针对第一目标策略对进出的数据进行相应的处理，实现安全防护过程。

本申请的实施例所提供的网络部署方法，通过获取目标网络当前的网络意图信息，基于网络意图信息，确定具有信息传输关系的m组目标通信对象，基于m组目标通信对象和策略集合，确定第一目标策略，部署第一目标策略至用于管理目标网络的网络管理设备。这样，对网络意图信息中的通信对象进行分组，得到m组目标通信对象，然后根据m组目标通信对象和策略集合，确定得到第一目标策略，并对第一目标策略进行部署，解决了目前部署方式中均存在部署周期较长，且数据中心网络自适应能力较差的问题，通过少量网络状态信息例如网络的四层信息和七层信息即可实现自动确定相应的策略并进行快速部署，有效缩短了部署周期，并提高了数据中心网络自适应能力。

基于前述实施例，本申请的实施例提供一种网络部署方法，该方法应用于网络部署设备，参照图2所示，该方法包括以下步骤：

步骤201、收集目标网络当前的第一网络状态信息。

在本申请实施例中，通过信息收集器收集目标网络在数据面基于互联网协议(Internet Protocol Address，IP)地址和端口的负载信息，即目标网络的四层信息，还通过信息收集器收集基于统一资源定位器(Uniform Resource Locator，URL)和服务进程的负载信息，即目标网络的七层信息，将目标网络的四层信息和七层信息作为第一网络状态信息。

步骤202、获取当前针对目标网络的业务要求。

其中，业务要求至少包括用户对目标网络的限定信息。

在本申请实施例中，对目标网络的业务要求可以是预先对目标网络进行的业务要求配置，也可以是用户采用日常用语对目标网络设置的要求，例如，针对人力资源的要求可以是人力资源只可以访问人力资源数据库。业务要求限定了第一网络状态中的某些通信链路是否可以导通。

步骤203、基于业务要求和第一网络状态信息，得到网络意图信息。

在本申请实施例中，网络意图信息中包括了允许通信的通信链路和禁止通信的通信链路。

步骤204、基于网络意图信息，确定具有信息传输关系的m组目标通信对象。

其中，m为大于或等于1的整数。

在本申请实施例中，对网络意图信息进行分析，确定具有通信的通信链路，并对通信链接进行划分，划分得到的每一组目标通信对象至少包括通信对象。

步骤205、基于m组目标通信对象和策略集合，确定第一目标策略。

其中，策略集合包括n种针对目标网络的网络通信策略，n为大于或等于m的整数。

在本申请实施例中，从策略集合中确定m组目标通信对象对应的第一目标策略。

步骤206、部署第一目标策略至用于管理目标网络的网络管理设备。

其中，第一目标策略用于使网络管理设备实现流量业务传输控制。

在本申请实施例中，以网络管理设备为分布式防火墙为例，对第一目标策略进行分布式防火墙可识别的规则，并将识别得到的规则部署至分布式防火墙处，从而实现通过分布式防火墙来对数据流量的管理和控制。

基于前述实施例，在本申请其他实施例中，步骤204可以由步骤204a～204b来实现：

步骤204a、从网络意图信息中，确定至少一个参考通信对象。

在本申请实施例中，网络意图信息中，确定的至少一个参考通信对象包括四层信息和七层信息中包括的IP地址、端口的编号、协议、URL和服务进程。

步骤204b、对至少一个参考对象进行分组，得到m组目标通信对象。

其中，m为大于或等于1的整数。

在本申请实施例中，对至少一个参考对象根据参考对象之间的连通性来进行分组，得到m组目标通信对象。

基于前述实施例，在本申请其他实施例中，步骤204b可以由步骤a11～a12来实现：

步骤a11、对每一参考对象进行标签化处理，得到至少一个目标通信对象。

在本申请实施例中，对每一参考对象进行标签化处理时，可以通过获取每一参考对象的网络资产属性，然后基于每一参考对象的网络资产属性中的服务类别、访问关系和虚拟机特征等对每一参考对象进行标签化处理，得到设置相应标签后的参考对象为目标通信对象。每一目标通信对象可被设置有至少一个标签。例如在针对人力资源的要求可以是人力资源只可以访问人力资源数据库时，对应的标签化处理后，得到的至少一个目标通信对象例如可以是标识信息为人力资源的终端设备的IP地址，和设置有标签为人力资源可以访问的人力资源数据库的端口。

步骤a12、对至少一个目标通信对象进行聚类分析，得到m组目标通信对象。

在本申请实施例中，对至少一个目标对象进行聚类分析时，具体是通过对至少一个目标通信对象的标签进行连通性的聚类分析，实现对至少一个目标通信对象进行分类而得到m组目标通信对象的。

这样，通过网络意图的表征，实现网络意图到策略的转译，以及根据网络意图建立标签化体系，极大提高了聚类算法实现自动化分组的精度，并能够根据策略模板库和自动化分组，快速实现网络微分段策略的下发和部署。

基于前述实施例，在本申请其他实施例中，参照图3所示，网络部署设备执行步骤205之前，还用于执行步骤207～208：

步骤207、基于网络意图信息，得到目标网络策略。

在本申请实施例中，对网络意图信息进行转译，构建得到目标网络策略，目标网络策略一般由允许通信的两个通信对象、以及通信内容属性等构成。目标网络策略包括至少一条策略。

步骤208、存储目标网络策略，得到策略集合。

在本申请实施例中，可以将目标网络策略存储中策略模板库中，即策略集合为策略模板库。

这样，在首次部署目标网络时，由于没有足够多的网络状态历史信息，能够实现快速部署网络微分段策略。

基于前述实施例中，在本申请其他实施例中，参照图4所示，网络部署设备执行步骤203之后，还用于执行步骤209，其中：

步骤209、采用网络拓扑图的形式显示网络意图信息。

在本申请实施例中，步骤209可以是网络部署设备接收到用户发送的显示网络意图信息的指令后执行的，也可以是默认设置的在得到网络意图信息时，在对应的显示区域进行实现显示时执行的。这样，采用网络拓扑图能够直观地显示网络意图信息中的通信链路，提高了用户的使用体验效果。

基于前述实施例，在本申请其他实施例中，步骤205可以通过步骤205a～205b来实现：

步骤205a、从策略集合中，获取m组目标通信对象对应的通信策略，得到第一目标策略。

示例性的，假设有3组目标通信对象分别为：A与B，B与C，和C与D，而在策略集合中，只有A发送信息给B和C发送信息给D的情况和其他情况，因此，可以得到这3组目标通信对象对应的通信策略为A发送信息给B和C发送信息给D，因此，第一目标策略包括A发送信息给B和C发送信息给D。

步骤205b、存储第一目标策略至目标存储区域。

在本申请实施例中，目标存储区域可以是策略数据库。目标存储区域中存储的策略可用于直接进行部署至网络管理设备例如分布式防火墙。

基于前述实施例，在本申请其他实施例中，步骤206可以通过步骤206a～206b来实现：

步骤206a、通过预先设置的策略和规则的映射关系，对第一目标策略进行转换处理，得到目标规则。

在本申请实施例中，策略和规则的映射关系用于表示策略与规则之间的转换关系，即将哪些服务类型、哪些网络访问或哪些虚拟机特征的策略，需转换成何种规则。对应的目标规则可以是访问控制列表(Access Control List，ACL)规则。

步骤206b、部署目标规则至网络管理设备。

在本申请实施例中，将针对第一目标策略进行转换处理得到的目标规则部署至网络管理设备例如分布式防火墙中，使分布式防火墙可以直接识别目标规则，实现对数据流量的分配的快速响应。

基于前述实施例中，在本申请其他实施例中，参照图5所示，网络部署设备执行步骤206b之后，还用于执行步骤210～214；其中：

步骤210、获取目标网络在目标规则生效后的第二网络状态信息。

在本申请实施例中，第二网络状态信息为在目标规则生效后，目标网络的四层信息和七层信息。

步骤211、基于第二网络状态信息和第一网络状态信息，确定网络变化信息。

在本申请实施例中，由于第二网络状态信息是目标规则生效后得到的目标网络的网络状态信息，因此，在第一网络状态信息中可以通信的通信链路在第二网络状态信息中可能不再进行通信，或者在第一网络状态信息中不存在的通信链路在第二网络状态信息中存在。这样，查找到第二网络状态信息与第一网络状态信息之间的不同，得到网络变化信息。

步骤212、采用网络拓扑图的形式显示第一网络状态信息，得到第三网络状态信息。

步骤213、采用目标标识信息对第三网络状态信息中的网络变化信息进行标识，得到目标网络状态信息。

在本申请实施例中，目标标识信息为预先约定好的用于标识不同变化信息的信息，例如将新增的通信链路标识为黑色实线，将两个通信对象之间的通信链路变化为断开标识为红色虚线并在红色虚线上标上叉号符号例如符号“×”等。

步骤214、显示目标网络状态信息。

在本申请实施例中，显示目标网络状态信息可以是接收到用户发送的显示指令后实现的，也可以是默认设置的在得到目标网络状态信息后就显示目标网络状态信息。目标网络状态信息可以显示在预先设置的好特定显示区域内。

基于前述实施例，在本申请其他实施例中，参照图6所示，在目标网络运行足够长时间，有大量样本时，在执行步骤201之后，网络部署设备还用于执行步骤215～218，其中：

步骤215、若检测到目标网络的历史网络状态信息和对应的历史目标策略的数量超过预设数量，确定待训练预测模型。

在本申请实施例中，目标网络的历史网络状态信息和对应的历史目标策略可以采用日志的形式来存储记录，即网络部署设备将每次下发目标策略后，将目标策略生效后对应的网络状态信息和目标策略记录在日志中，可以是一次网络状态信息和对应的目标策略存储在一个日志信息中，也可以是一定数量的网络状态信息和对应的目标策略记录在同一个日志信息中。这样，网络部署设备可以对日志信息进行检测，来确定目标网络的历史网络状态信息和对应的历史目标策略的数量。预设数量可以是根据大量实验得到的经验值，待训练预测模型可以是例如无标签类的神经网络模型。

步骤216、基于历史网络状态信息和对应的历史目标策略，对待训练预测模型进行模型训练，得到目标预测模型。

步骤217、通过目标预测模型对目标网络的第一网络状态信息进行预测，得到第二目标策略。

步骤218、部署第二目标策略至网络管理设备。

在本申请实施例中，部署第二目标策略的方式与部署第一目标策略的方式相同，具体实现过程可以参照部署第一目标策略的实现过程，此处不再详细赘述。

这样，通过神经网络模型进行策略智能推荐，实现了策略推荐方式的丰富和智能化，保证了推荐的策略的准确性，提高了网络的安全性。

基于前述实施例，在本申请其他实施例中提供一种实现网络部署架构，参照图7所示，该网络部署架构主要包括：策略引擎中心31、软件定义网络(Software DefinedNetwork，SDN)控制器32、分布式防火墙(Distributed Firewall，DFW)33、虚拟交换机34和具有终端监控器(Endpoint Monitor，EM)虚拟机35，其中：

策略引擎中心31，用于收集流量信息即四层信息和应用信息即七层信息，并对收集到的流量信息和应用信息进行处理，以生成用于网络微分段实施的微分段策略。策略引擎中心31至少包括：用于根据流量信息和应用信息生成策略的策略引擎311，存储策略的策略数据库312，以及用于获取流量信息的收集器313。策略引擎311除生成策略的功能外，还可以具体其他功能，例如能够根据流量信息和应用信息进行人工智能学习并智能化推荐策略，可以对产生策略冲突的情况进行处理和优化，也可以通过策略分析匹配意图网络从而进行策略管理。其中，在收集器313收集四层信息时，可以通过数据面流量输出(Data PlaneExporter，DP Exporter)来实现，即策略引擎中心的收集器通过DP Exporter将数据面提供的四层信息进行收集，DP Exporter可以通过Netflow协议的IP数据流信息输出(IP FlowInformation Export，IPFIX)网络监测功能对网络流量的四层信息进行封装。

SDN控制器32，SDN控制器具有北向接口和南向接口。首先，SDN控制器32通过北向接口接收策略引擎中心31提供的Kafka消息队列中的微分段策略，然后，SDN控制器通过策略和规则的转换关系，把接收到的微分段策略映射为DFW数据面能够识别的网络微分段ACL规则，最后，SDN控制器通过南向接口将得到的网络微分段ACL规则下发至数据面的DFW中，这样实现了端到端网络微分段策略的实际部署。

DFW 33，属于数据面，DFW作为网络微分段ACL规则生效的最终载体，用于根据具体的网络微分段ACL规则，控制虚拟交换机vSwitch34中的网络流量，实现对数据中心网络的东西流量细粒度地访问控制。

虚拟机(Virtual Machine，VM)35，每个VM中部署一个轻量化的终端监控器EM，通过EM获取VM中运行的应用信息，提供数据中心网络的七层信息。同时，EM负责把获取的七层信息上报给策略引擎中心的收集器311。

这样，基于上述网络部署架构对应的实现网络部署方法的具体流程可以参照图8，具体包括以下步骤：

步骤41、开始。

步骤42、收集器获取网络状态信息。

其中，收集器获取的网络状态信息是EM获取数据中心网络中的VM的应用信息和DPExporter获取数据中心网络的流量信息。

步骤43、策略引擎中心对网络状态信息进行可视化处理。

其中，对收集器获取的流量信息和应用信息进行可视化处理，得到用于展示当前数据中心网络的流量视图和业务视图，例如一个虚机的某种服务访问了另一个虚机中的某种服务，业务视图是根据应用信息得到的。这样，可以对流量视图和业务视图进行综合分析，得到能够表征当前网络的意图。

需说明的是，在执行步骤43之后，可以选择执行步骤44～48或者步骤49～410，在数据中心网络首次使用和/或前几次运维时，可以选择执行44～48，在运行得到的网络状态信息的样本数量较多时，可以选择执行步骤49～410。

步骤44、策略引擎获取用户网络意图信息。

其中，用户网络意图信息为前述针对目标网络的业务要求。例如用户网络意图信息为例如允许A虚拟机中的X应用访问B虚拟机中的Y服务，不存在C虚拟机和D虚拟机的访问流量关系等。

步骤45、策略引擎对用户网络意图信息和网络状态信息进行按照转译策略进行转译处理，得到适用于当前网络意图的策略，并将得到的策略存储至策略模板库中。

这样，在没有足够多的网络状态历史信息，无法通过策略人工智能学习获得智能化的策略推荐的情况下，也能够快速部署网络微分段策略。

步骤46、策略引擎对用户网络意图信息和网络状态信息进行标签化处理，得到标签化的结构体系。

其中，根据用户网络意图信息和网络状态信息不仅能够获得转译的策略，而且能够综合用户网络意图信息和网络状态信息，刻画数据中心网络的网络资产属性，针对不同的服务类别，不同的访问关系，不同的虚拟机特征，建立标签化的结构体系。

步骤47、策略引擎对标签化的结构体系进行分组，得到分组结果。

其中，根据标签化的结构体系，结合K-means聚类算法，对用户网络意图信息和网络状态信息中的通信对象进行的自动化分组。这些分组就是网络微分段中的不同分段，不同分段之间不存在网络访问，同分段或同分组中的服务存在网络访问关系。

其中，步骤45和步骤46～47可以是并行执行的，即同时执行的，也可以步骤46～47在步骤45之前执行，具体执行顺序可以根据实际应用场景来确定。

步骤48、策略引擎基于策略模板库和分组结果，确定匹配的微分段策略。

步骤49、策略引擎收集包括数据中心网络的网络状态信息的日志信息，并对待训练预测模型进行模型训练，得到目标预测模型。

步骤410、策略引擎通过目标预测模型对网络状态信息进行预测，得到微分段策略。

其中，策略引擎不断的收集包括数据中心网络的网络状态信息的日志信息，根据这些大量的日志信息，策略引擎通过人工智能算法学习，能够推荐出准确率较高的微分段策略，大大降低网络管理员配置策略的工作量。同时，策略引擎也会对智能推荐的新策略做冲突检测和优化，集中的管理这些推荐的策略。

步骤411、策略引擎保存匹配的微分段策略至策略数据库。

步骤412、策略引擎中心将策略数据库中的微分段策略快速下发给SDN控制器。

其中，策略数据库主要用于持久化的存储网络微分段的安全策略。策略数据库库中的一部分策略可以来自于匹配当前网络意图的策略模板，以便于实现快速策略下发；另外一部分策略可以来自于根据日志信息学习的智能推荐策略，用于策略的丰富和智能化生成策略。策略数据库中的策略条目通过Kafka消息队列的方式下发给SDN控制器。

步骤413、SDN控制器将策略和规则的映射关系与下发的微分段策略进行规则转换，得到对应的ACL规则。

其中，策略需要转换为规则才能被终端的DFW所识别。通过策略和规则的映射关系，能够将高级别的策略描述转换为低层次的ACL规则。在一些应用场景中，一条策略可以对应零到多条规则，一条策略对应的规则的数量取决于策略具体表征的含义。

步骤414、SDN控制器将得到的ACL规则下发至DFW中。

其中，SDN控制器可以根据出口和入口规则，把得到的ACL规则下发至数据面的DFW中，完成网络微分段策略的最终实施。

步骤415、策略引擎中心获取规则发送后数据中心网络的网络状态信息，并执行步骤43。

其中，ACL规则生效后，数据中心网络中的网络状态信息也会随之改变。将网络状态信息的改变进行及时反馈并显示，对当前网络意图的表征进行更新，以此形成网络微分段的闭环设计。

这样，根据最终网络微分段策略的实施，即ACL规则生效后，及时将当前网络状态信息的变化进行反馈，不仅能够持续检验数据中心网络流量和业务的改变，而且能够生成匹配当前网络意图的表征，形成网络微分段的闭环设计。

需要说明的是，本实施例中与其它实施例中相同步骤或概念的解释可以参考其它实施例中的描述，此处不再赘述。

本申请的实施例所提供的网络部署方法，通过收集目标网络当前的网络意图信息，基于网络意图信息，确定具有信息传输关系的m组目标通信对象，基于m组目标通信对象和策略集合，确定第一目标策略，部署第一目标策略至用于管理目标网络的网络管理设备。这样，对网络意图信息中的通信对象进行分组，得到m组目标通信对象，然后根据m组目标通信对象和策略集合，确定得到第一目标策略，并对第一目标策略进行部署，解决了目前部署方式中均存在部署周期较长，且数据中心网络自适应能力较差的问题，通过少量网络状态信息例如网络的四层信息和七层信息即可实现自动确定相应的策略并进行部署，有效缩短了部署周期，并提高了数据中心网络自适应能力。极大的降低了网络管理员配置网络微分段策略的复杂程度，也减少了由于策略配置错误导致的安全风险，节约了成本，并从整体上提高了业务系统的网络安全性。

基于前述实施例，本申请实施例提供一种网络部署设备5，该网络部署设备5可以应用于图1～6对应的实施例中，参照图9所示，该网络部署设备5包括：存储器51、处理器52和通信总线53；其中：

存储器51，用于存储可执行指令；

通信总线53，用于实现处理器52和存储器51之间的通信连接；

处理器52，用于执行存储器51中存储的网络部署程序，实现以下步骤：

获取目标网络当前的网络意图信息；

基于网络意图信息，确定具有信息传输关系的m组目标通信对象；其中，m为大于或等于1的整数；

基于m组目标通信对象和策略集合，确定第一目标策略；其中，策略集合包括n种针对目标网络的网络通信策略，n为大于或等于m的整数；

部署第一目标策略至用于管理目标网络的网络管理设备；其中，第一目标策略用于使分布式防火墙实现流量业务传输控制。

在本申请其他实施例中，处理器用于执行步骤获取目标网络当前的网络意图信息时，可以通过以下步骤来实现：

收集目标网络当前的第一网络状态信息；

获取当前针对目标网络的业务要求；其中，业务要求至少包括用户对目标网络的限定信息；

基于业务要求和第一网络状态信息，得到网络意图信息。

在本申请其他实施例中，处理器用于执行步骤基于网络意图信息，确定具有信息传输关系的m组目标通信对象时，可以通过以下步骤来实现：

从网络意图信息中，确定至少一个参考通信对象；

对至少一个参考对象进行分组，得到m组目标通信对象。

在本申请其他实施例中，处理器用于执行步骤对至少一个参考对象进行分组，得到m组目标通信对象时，可以通过以下步骤来实现：

对每一参考对象进行标签化处理，得到至少一个目标通信对象；

对至少一个目标通信对象进行聚类分析，得到m组目标通信对象。

在本申请其他实施例中，处理器用于执行步骤基于m组目标通信对象和策略集合，确定第一目标策略之前，处理器还用于执行以下步骤：

基于网络意图信息，得到目标网络策略；

存储目标网络策略，得到策略集合。

在本申请其他实施例中，处理器用于执行步骤获取目标网络当前的网络意图信息之后，还用于执行以下步骤：

采用网络拓扑图的形式显示网络意图信息。

在本申请其他实施例中，处理器用于执行步骤基于m组目标通信对象和策略集合，确定第一目标策略时，可以通过以下步骤来实现：

从策略集合中，获取m组目标通信对象对应的通信策略，得到第一目标策略；

存储第一目标策略至目标存储区域。

在本申请其他实施例中，处理器用于执行步骤部署第一目标策略至用于管理目标网络的网络管理设备时，可以通过以下步骤来实现：

通过预先设置的策略和规则的映射关系，对第一目标策略进行转换处理，得到目标规则；

部署目标规则至网络管理设备。

在本申请其他实施例中，处理器用于执行步骤部署目标规则至网络管理设备之后，还用于执行以下步骤：

获取目标网络在目标规则生效后的第二网络状态信息；

基于第二网络状态信息和第一网络状态信息，确定网络变化信息；

采用网络拓扑图的形式显示第一网络状态信息，得到第三网络状态信息；

采用目标标识信息对第三网络状态信息中的网络变化信息进行标识，得到目标网络状态信息；

显示目标网络状态信息。

在本申请其他实施例中，处理器还用于执行以下步骤：

若检测到目标网络的历史网络状态信息和对应的历史目标策略的数量超过预设数量，确定待训练预测模型；

基于历史网络状态信息和对应的历史目标策略，对待训练预测模型进行模型训练，得到目标预测模型；

通过目标预测模型对目标网络的第一网络状态信息进行预测，得到第二目标策略；

部署第二目标策略至网络管理设备。

需说明的是，本实施例中处理器所实现的步骤之间的交互过程，可以参照图1～6对应的实施例及上述实施例提供的网络部署方法中的交互过程，此处不再赘述。

本申请的实施例所提供的网络部署设备，通过收集目标网络当前的网络意图信息，基于网络意图信息，确定具有信息传输关系的m组目标通信对象，基于m组目标通信对象和策略集合，确定第一目标策略，部署第一目标策略至用于管理目标网络的网络管理设备。这样，对网络意图信息中的通信对象进行分组，得到m组目标通信对象，然后根据m组目标通信对象和策略集合，确定得到第一目标策略，并对第一目标策略进行部署，解决了目前部署方式中均存在部署周期较长，且数据中心网络自适应能力较差的问题，通过少量网络状态信息例如网络的四层信息和七层信息即可实现自动确定相应的策略并进行部署，有效缩短了部署周期，并提高了数据中心网络自适应能力。极大的降低了网络管理员配置网络微分段策略的复杂程度，也减少了由于策略配置错误导致的安全风险，节约了成本，并从整体上提高了业务系统的网络安全性。

基于前述实施例，本申请的实施例提供一种计算机可读存储介质，计算机可读存储介质存储有一个或者多个网络部署程序，一个或者多个网络部署程序可被一个或者多个处理器执行，以实现如图1～6对应的实施例提供的网络部署方法，此处不再赘述。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，，空调器，或者网络通信链接设备等)执行本申请各个实施例所描述的方法。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上仅为本申请的优选实施例，并非因此限制本申请的专利范围，凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本申请的专利保护范围内。

Claims (12)

1.一种网络部署方法，其特征在于，所述方法包括：

获取目标网络当前的网络意图信息；

基于所述网络意图信息，确定具有信息传输关系的m组目标通信对象；其中，m为大于或等于1的整数；

基于m组所述目标通信对象和策略集合，确定第一目标策略；其中，所述策略集合包括n种针对所述目标网络的网络通信策略，n为大于或等于m的整数；

部署所述第一目标策略至用于管理所述目标网络的网络管理设备；其中，所述第一目标策略用于使所述网络管理设备实现流量业务传输控制。

2.根据权利要求1所述的方法，其特征在于，所述获取目标网络当前的网络意图信息，包括：

收集所述目标网络当前的第一网络状态信息；

获取当前针对所述目标网络的业务要求；其中，所述业务要求至少包括用户对所述目标网络的限定信息；

基于所述业务要求和所述第一网络状态信息，得到所述网络意图信息。

3.根据权利要求2所述的方法，其特征在于，所述基于所述网络意图信息，确定具有信息传输关系的m组目标通信对象，包括：

从所述网络意图信息中，确定至少一个参考通信对象；

对至少一个所述参考对象进行分组，得到m组所述目标通信对象。

4.根据权利要求3所述的方法，其特征在于，所述对至少一个所述参考对象进行分组，得到m组所述目标通信对象，包括：

对每一所述参考对象进行标签化处理，得到至少一个目标通信对象；

对至少一个所述目标通信对象进行聚类分析，得到m组所述目标通信对象。

5.根据权利要求1至4任一项所述的方法，其特征在于，所述基于m组所述目标通信对象和策略集合，确定第一目标策略之前，所述方法还包括：

基于所述网络意图信息，得到目标网络策略；

存储所述目标网络策略，得到所述策略集合。

6.基于权利要求1至4任一项所述的方法，其特征在于，所述获取目标网络当前的网络意图信息之后，所述方法还包括：

采用网络拓扑图的形式显示所述网络意图信息。

7.根据权利要求1至4任一项所述的方法，其特征在于，所述基于m组所述目标通信对象和策略集合，确定第一目标策略，包括：

从所述策略集合中，获取m组所述目标通信对象对应的通信策略，得到所述第一目标策略；

存储所述第一目标策略至目标存储区域。

8.根据权利要求2所述的方法，其特征在于，所述部署所述第一目标策略至用于管理所述目标网络的网络管理设备，包括：

通过预先设置的策略和规则的映射关系，对所述第一目标策略进行转换处理，得到目标规则；

部署所述目标规则至所述网络管理设备。

9.根据权利要求8所述的方法，其特征在于，所述部署所述目标规则至所述网络管理设备之后，所述方法还包括：

获取所述目标网络在所述目标规则生效后的第二网络状态信息；

基于所述第二网络状态信息和所述第一网络状态信息，确定网络变化信息；

采用网络拓扑图的形式显示所述第一网络状态信息，得到第三网络状态信息；

采用目标标识信息对所述第三网络状态信息中的所述网络变化信息进行标识，得到目标网络状态信息；

显示所述目标网络状态信息。

10.根据权利要求2至4任一项所述的方法，其特征在于，所述方法还包括：

若检测到所述目标网络的历史网络状态信息和对应的历史目标策略的数量超过预设数量，确定待训练预测模型；

基于所述历史网络状态信息和对应的历史目标策略，对所述待训练预测模型进行模型训练，得到目标预测模型；

通过所述目标预测模型对所述目标网络的第一网络状态信息进行预测，得到第二目标策略；

部署所述第二目标策略至网络管理设备。

11.一种网络部署设备，其特征在于，所述设备包括：存储器、处理器和通信总线；其中：

所述存储器，用于存储可执行指令；

所述通信总线，用于实现所述处理器和所述存储器之间的通信连接；

所述处理器，用于执行所述存储器中存储的网络部署程序，实现如权利要求1至10中任一项所述的网络部署方法的步骤。

12.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有网络部署程序，所述网络部署程序被处理器执行时实现如权利要求1至10中任一项所述的网络部署方法的步骤。

Images