CN114301656B - 一种网络攻防平台虚实结合***与方法 - Google Patents
一种网络攻防平台虚实结合***与方法 Download PDFInfo
- Publication number
- CN114301656B CN114301656B CN202111590315.2A CN202111590315A CN114301656B CN 114301656 B CN114301656 B CN 114301656B CN 202111590315 A CN202111590315 A CN 202111590315A CN 114301656 B CN114301656 B CN 114301656B
- Authority
- CN
- China
- Prior art keywords
- vlan
- entity
- access switch
- virtual
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000007123 defense Effects 0.000 title claims abstract description 18
- 238000000034 method Methods 0.000 title claims abstract description 14
- 238000004088 simulation Methods 0.000 claims abstract description 22
- 238000002955 isolation Methods 0.000 claims description 4
- 230000000694 effects Effects 0.000 claims description 3
- 238000006243 chemical reaction Methods 0.000 abstract description 3
- 230000007547 defect Effects 0.000 abstract description 3
- 238000012423 maintenance Methods 0.000 abstract description 2
- 230000006378 damage Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络攻防平台虚实结合***与方法,本发明通过接入交换机管理单元,管理交换机可用于接入实体设备的端口数量,以及端口预先配置的vlan号;并通过实体设备管理单元管理实体设备连接的接入交换机的端口;在创建仿真场景时,场景管理单元判断场景中实体设备连接的虚拟网络的vlan号,同时获取实体设备连接的接入交换机端口的vlan号,在两者不相同时,在平台计算节点的虚拟网桥里添加vlan转换的流表。本发明通过预先配置接入交换机vlan,再结合流表vlan转换,避免了通过脚本临时配置接入交换机、录入接入实体设备MAC的弊端,使虚实结合使用起来更方便,扩展性更好,使用和维护成本较低。
Description
技术领域
本发明涉及一种网络攻防平台虚实结合***与方法,属于网络技术领域。
背景技术
网络攻防平台是通过虚拟化场景的方式,提供了一个高度仿真的信息安全攻防实战演练环境,能满足各行业客户信息安全对抗演练、竞赛的需求。有时候为了提高虚拟化场景的仿真度,需要接入真实的物理设备(服务器、打印机、三层物理交换机等),构建成一个虚实结合的仿真场景。由于在对抗演练、比赛的时候,一般都是多人或者多团队进行,所以网络攻防平台上面就会存在多个虚拟仿真场景,每个人或者队伍一个场景,使用vlan进行场景之间的网络隔离。
目前虚实结合大概有如下三种方案:1、接入交换机为普通交换机,通过ssh远程配置交换机的端口vlan来实现虚实结合,比如实体设备要连通的虚拟设备的vlan号为10,则使用ssh连接交换机的管理口,通过脚本进行交互,配置交换机连接该实体设备的端口vlan号为10。这种方式每种品牌或者型号交换机都需要写一个交互脚本。2、接入交换机为普通交换机,通过在虚拟网桥上使用流表基于实体设备的MAC,给从实体设备进入的流量打vlan,给发送给实体设备的流量去除vlan,来实现虚实结合。这种方式在接入交换机没有隔离,且添加实体设备时,需要录入实体设备的MAC,增加了使用成本。3、接入交换机使用SDN交换机,可以直接在交换机端口打vlan,实现方案跟方案1类似。但SDN交换机成本比较高。
发明内容
发明目的:针对上述现有技术存在的问题,本发明目的在于提供一种网络攻防平台虚实结合***与方法,提高虚实结合的扩展性和易用性。
技术方案:为实现上述发明目的,本发明采用如下技术方案:一种网络攻防平台虚实结合***,包括:
接入交换机管理单元,用于管理实体设备接入交换机的信息,包括交换机可用于接入实体设备的端口数量,以及每个端口对应的vlan号;所述vlan号为预先配置的固定的vlan号;
实体设备管理单元,用于管理接入的实体设备的信息,包括实体设备连接的接入交换机的端口;
以及,场景管理单元,用于管理仿真场景,仿真场景中包括多个虚拟机和至少一个实体设备;不同的仿真场景之间通过vlan进行网络隔离;所述场景管理单元在创建仿真场景时,判断场景中实体设备连接的虚拟网络的vlan号,同时从实体设备管理单元获取实体设备连接的接入交换机端口的vlan号,在两者不相同时,在平台计算节点的虚拟网桥里添加vlan转换的流表。
进一步地,所述实体设备管理单元管理的实体设备信息包括实体设备名称、实体设备连接的接入交换机的端口以及品牌型号;不包括实体设备的MAC。
进一步地,实体设备接入交换机的vlan号是在物理环境部署时在预先设定的范围内配置好的固定vlan号。
进一步地,一个仿真场景中接入的一个实体设备所添加的vlan转换的流表为:
将in_port=计算节点物理网卡连接虚拟网桥的端口,dl_vlan=实体设备连接的接入交换机端口的vlan号的流量,actions设置为mod_vlan_vid:仿真场景中实体设备连接的虚拟网络的vlan号;
将dl_vlan=仿真场景中实体设备连接的虚拟网络的vlan号的流量,actions设置为mod_vlan_vid: 实体设备连接的接入交换机端口的vlan号。
一种网络攻防平台虚实结合方法,包括如下步骤:
在物理环境部署时,给接入交换机的每个可用于接入实体设备的端口配置好固定的vlan,并记录接入交换机可用于接入实体设备的端口数量,以及每个端口对应的vlan号;
在虚拟仿真场景需要接入实体设备时,将实体设备***在接入交换机的一个端口,并记录实体设备连接的交换机端口号;
创建虚拟仿真场景的时候,判断实体设备连接的虚拟网络的vlan号,同时获取实体设备连接的接入交换机端口的vlan号,在两者不相同时,在平台计算节点的虚拟网桥里面添加vlan转换的流表。
有益效果:本发明通过提前配置接入交换机端口vlan,再结合流表技术实现了网络攻防平台虚实结合需求,避免了现有方式通过脚本临时配置接入交换机,以及需要录入接入实体设备MAC的弊端,使虚实结合使用起来更方便,简捷。与现有技术相比,本发明去除对交换机品牌型号的依赖,提高了虚实结合的扩展性,避免了手工录入MAC,提高了易用性。
附图说明
图1为本发明实施例的***结构原理图。
图2为本发明实施例的方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅只是本发明的一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的其他所有实施例,都属于本发明保护的范围。
如图1所示,本发明实施例公开的一种网络攻防平台虚实结合***,主要包括平台控制节点上的接入交换机管理单元、实体设备管理单元和场景管理单元。网络攻防平台的物理机集群包括一个控制节点和多个计算节点;实体设备通过普通接入交换机接入计算节点。本实施例中,接入交换机管理单元,主要管理接入交换机的信息,包括交换机端口数量,每个端口对应的vlan,可在界面进行端口的添加、删除、vlan的更新等。实体设备管理单元,主要管理接入的实体设备的信息,包括实体设备连接的接入交换机的端口、名称、品牌型号等信息。场景管理单元,主要管理仿真场景,包括场景创建、销毁等操作,其中包含虚拟机的创建,虚实结合流表的添加功能。仿真场景中包括多个虚拟机和至少一个实体设备,仿真场景的创建、销毁为现有功能,本方案不赘述。
如图2所示,下面详细说明本发明实施例公开的网络攻防平台虚实结合方法的具体过程:
1、在物理环境部署的时候,给接入交换机的每个可用于接入实体设备的口配置好固定的vlan。比如交换机48个口,vlan可以从2-49进行配置,每个口一个vlan。然后在接入交换机管理页面添加交换机的信息,包括端口数量,每个口对应的vlan。
2、虚拟场景需要接入实体设备的时候,首先把实体设备***在接入交换机的一个口上面,然后在实体设备管理页面添加实体设备连接的交换机端口号。
3、创建虚拟场景的时候,判断实体设备连接的虚拟网络的vlan号,同时获取实体设备连接的接入交换机端口的vlan号,判断vlan号是否相同,如果不相同,在虚拟网桥里面添加vlan转换的流表。流表的配置信息可根据场景拓扑信息发送到虚拟网络所在的计算节点上。
流表如下:
ovs-ofctl add-flow br-int(虚拟网桥名) “table=0,priority=10000,in_port=1(eth0连接虚拟网桥的口) dl_vlan=10(实体设备连接的接入交换机端口的vlan号)actions=mod_vlan_vid:100(虚拟网络的vlan号),normal”
ovs-ofctl add-flow br-int(虚拟网桥名) “table=0,priority=10000,dl_vlan=100(虚拟网络的vlan号) actions=mod_vlan_vid:10(实体设备连接的接入交换机端口的vlan号),normal”
上述两条流表实现了实体设备vlan和虚拟网络vlan之间的转换,实现了实体设备和虚拟网络的通信。
通过预先配置接入交换机vlan,再结合流表vlan转换,避免了通过脚本临时配置接入交换机,录入接入实体设备MAC的弊端,使虚实结合使用起来更方便,扩展性更好,使用和维护成本较低。
Claims (5)
1.一种网络攻防平台虚实结合***,其特征在于,包括:
接入交换机管理单元,用于管理实体设备接入交换机的信息,包括交换机可用于接入实体设备的端口数量,以及每个端口对应的vlan号;所述vlan号为预先配置的固定的vlan号;
实体设备管理单元,用于管理接入的实体设备的信息,包括实体设备连接的接入交换机的端口;
以及,场景管理单元,用于管理仿真场景,仿真场景中包括平台计算节点上的多个虚拟机和接入交换机上连接的至少一个实体设备;所述实体设备通过接入交换机接入计算节点;不同的仿真场景之间通过vlan进行网络隔离;所述场景管理单元在创建仿真场景时,判断场景中实体设备连接的虚拟网络的vlan号,同时从实体设备管理单元获取实体设备连接的接入交换机端口的vlan号,在两者不相同时,在平台计算节点的虚拟网桥里添加vlan转换的流表,一个仿真场景中接入的一个实体设备所添加的vlan转换的流表为:将in_port=计算节点物理网卡连接虚拟网桥的端口,dl_vlan=实体设备连接的接入交换机端口的vlan号的流量,actions设置为mod_vlan_vid:仿真场景中实体设备连接的虚拟网络的vlan号;将dl_vlan=仿真场景中实体设备连接的虚拟网络的vlan号的流量,actions设置为mod_vlan_vid:实体设备连接的接入交换机端口的vlan号。
2.根据权利要求1所述的网络攻防平台虚实结合***,其特征在于,所述实体设备管理单元管理的实体设备信息包括实体设备名称、实体设备连接的接入交换机的端口以及品牌型号;不包括实体设备的MAC。
3.根据权利要求1所述的网络攻防平台虚实结合***,其特征在于,实体设备接入交换机的vlan号是在物理环境部署时在预先设定的范围内配置好的固定vlan号。
4.一种网络攻防平台虚实结合方法,其特征在于,包括如下步骤:
在物理环境部署时,给接入交换机的每个可用于接入实体设备的端口配置好固定的vlan,并记录接入交换机可用于接入实体设备的端口数量,以及每个端口对应的vlan号;
在虚拟仿真场景需要接入实体设备时,将实体设备***在接入交换机的一个端口,并记录实体设备连接的交换机端口号;
创建虚拟仿真场景的时候,判断实体设备连接的虚拟网络的vlan号,同时获取实体设备连接的接入交换机端口的vlan号,在两者不相同时,在平台计算节点的虚拟网桥里面添加vlan转换的流表;其中仿真场景中包括平台计算节点上的多个虚拟机和接入交换机上连接的至少一个实体设备;所述实体设备通过接入交换机接入计算节点;不同的仿真场景之间通过vlan进行网络隔离;一个仿真场景中接入的一个实体设备所添加的vlan转换的流表为:将in_port=计算节点物理网卡连接虚拟网桥的端口,dl_vlan=实体设备连接的接入交换机端口的vlan号的流量,actions设置为mod_vlan_vid:仿真场景中实体设备连接的虚拟网络的vlan号;将dl_vlan=仿真场景中实体设备连接的虚拟网络的vlan号的流量,actions设置为mod_vlan_vid:实体设备连接的接入交换机端口的vlan号。
5.根据权利要求4所述的网络攻防平台虚实结合方法,其特征在于,在记录实体设备信息时,记录内容包括实体设备名称、实体设备连接的接入交换机的端口以及品牌型号;不包括实体设备的MAC。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111590315.2A CN114301656B (zh) | 2021-12-23 | 2021-12-23 | 一种网络攻防平台虚实结合***与方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111590315.2A CN114301656B (zh) | 2021-12-23 | 2021-12-23 | 一种网络攻防平台虚实结合***与方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114301656A CN114301656A (zh) | 2022-04-08 |
| CN114301656B true CN114301656B (zh) | 2023-10-27 |
Family
ID=80970426
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111590315.2A Active CN114301656B (zh) | 2021-12-23 | 2021-12-23 | 一种网络攻防平台虚实结合***与方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114301656B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115348126A (zh) * | 2022-07-26 | 2022-11-15 | 北京永信至诚科技股份有限公司 | 一种网络靶场实体设备接入方法、装置及实现*** |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011043416A1 (ja) * | 2009-10-07 | 2011-04-14 | 日本電気株式会社 | 情報システム、制御サーバ、仮想ネットワーク管理方法およびプログラム |
| WO2014094218A1 (zh) * | 2012-12-18 | 2014-06-26 | 华为技术有限公司 | 基于虚拟组网的交换机配置方法及集群管理设备 |
| WO2017173952A1 (zh) * | 2016-04-08 | 2017-10-12 | 中兴通讯股份有限公司 | 一种实现虚拟机统一管理及互通的方法、装置和*** |
| CN107580077A (zh) * | 2016-07-04 | 2018-01-12 | 南京中兴新软件有限责任公司 | 公网ip分配方法、装置以及虚拟化数据中心*** |
| CN108123819A (zh) * | 2016-11-30 | 2018-06-05 | 江南大学 | 一种虚实网络无缝融合的仿真方法 |
| CN108123818A (zh) * | 2016-11-30 | 2018-06-05 | 江南大学 | 一种虚实网络灵活可扩展融合的仿真方法 |
| CN109660443A (zh) * | 2018-12-26 | 2019-04-19 | 江苏省未来网络创新研究院 | 基于sdn的物理设备与虚拟网络通信方法和*** |
| CN110838964A (zh) * | 2018-08-16 | 2020-02-25 | 上海仪电(集团)有限公司中央研究院 | 一种虚拟网络与物理网络的网络对接*** |
| CN111651241A (zh) * | 2020-08-04 | 2020-09-11 | 北京赛宁网安科技有限公司 | 一种网络靶场的流量采集***与方法 |
| CN112202624A (zh) * | 2020-12-07 | 2021-01-08 | 南京赛宁信息技术有限公司 | 网络靶场场景编排的真实设备快速接入***与方法 |
-
2021
- 2021-12-23 CN CN202111590315.2A patent/CN114301656B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011043416A1 (ja) * | 2009-10-07 | 2011-04-14 | 日本電気株式会社 | 情報システム、制御サーバ、仮想ネットワーク管理方法およびプログラム |
| WO2014094218A1 (zh) * | 2012-12-18 | 2014-06-26 | 华为技术有限公司 | 基于虚拟组网的交换机配置方法及集群管理设备 |
| WO2017173952A1 (zh) * | 2016-04-08 | 2017-10-12 | 中兴通讯股份有限公司 | 一种实现虚拟机统一管理及互通的方法、装置和*** |
| CN107580077A (zh) * | 2016-07-04 | 2018-01-12 | 南京中兴新软件有限责任公司 | 公网ip分配方法、装置以及虚拟化数据中心*** |
| CN108123819A (zh) * | 2016-11-30 | 2018-06-05 | 江南大学 | 一种虚实网络无缝融合的仿真方法 |
| CN108123818A (zh) * | 2016-11-30 | 2018-06-05 | 江南大学 | 一种虚实网络灵活可扩展融合的仿真方法 |
| CN110838964A (zh) * | 2018-08-16 | 2020-02-25 | 上海仪电(集团)有限公司中央研究院 | 一种虚拟网络与物理网络的网络对接*** |
| CN109660443A (zh) * | 2018-12-26 | 2019-04-19 | 江苏省未来网络创新研究院 | 基于sdn的物理设备与虚拟网络通信方法和*** |
| CN111651241A (zh) * | 2020-08-04 | 2020-09-11 | 北京赛宁网安科技有限公司 | 一种网络靶场的流量采集***与方法 |
| CN112202624A (zh) * | 2020-12-07 | 2021-01-08 | 南京赛宁信息技术有限公司 | 网络靶场场景编排的真实设备快速接入***与方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114301656A (zh) | 2022-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111600913B (zh) | 一种网络靶场攻防场景真实设备自适应接入方法与*** | |
| CN112202624B (zh) | 网络靶场场景编排的真实设备快速接入***与方法 | |
| CN103825954B (zh) | 一种OpenFlow控制方法及相应插件、平台和网络 | |
| CN110301104B (zh) | 一种光线路终端olt设备虚拟方法及相关设备 | |
| CN102571698B (zh) | 一种虚拟机访问权限的控制方法、***及装置 | |
| CN114363021B (zh) | 网络靶场***、网络靶场***的虚拟网络实现方法及装置 | |
| CN103036703A (zh) | 虚拟网络的逻辑拓扑的结构管理方法以及管理服务器 | |
| CN106687974B (zh) | 攻击观察装置以及攻击观察方法 | |
| CN111049686B (zh) | 一种电力监控***安全防护虚拟实验室及其构建方法 | |
| CN107113219A (zh) | 虚拟环境中的vlan标记 | |
| CN114301656B (zh) | 一种网络攻防平台虚实结合***与方法 | |
| CN103475743B (zh) | 一种用于云服务的方法、装置及*** | |
| CN107547242A (zh) | Vm配置信息的获取方法及装置 | |
| CN110224917B (zh) | 数据传输方法、装置及***、服务器 | |
| CN108449272A (zh) | 一种基于OpenStack架构提供端口转发服务的实现方法 | |
| CN112600903B (zh) | 一种弹性虚拟网卡迁移方法 | |
| JP2015231138A (ja) | サイバー攻撃演習システム、演習環境提供方法、および、演習環境提供プログラム | |
| CN106528289A (zh) | 资源的操作处理方法及装置 | |
| CN108833472B (zh) | 云主机的连接建立*** | |
| CN108540408A (zh) | 一种基于Openstack的分布式虚拟交换机的管理方法及*** | |
| CN106878095A (zh) | 一种基于想定分布式仿真的网络配置方法及*** | |
| CN106612193A (zh) | 在虚拟化技术下的网络开局配置方法及装置 | |
| KR100889753B1 (ko) | 링크 애그리게이션 그룹에서의 보호 절체 방법 및 그 장치 | |
| CN115208660B (zh) | 一种网络靶场设备透明接入的方法 | |
| CN110109623A (zh) | 一种kvm***的u盘远程操作的实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |